Hallo zusammen,
leider war ich auch so naiv und habe mir den Facebook-Bildschirmschonervirus (den genauen Dateinamen weiß ich leider nicht mehr) am Wochenende eingefangen. Da ich leider nicht so Richtig weiter weiß, hab ich mich hier angemeldet und hoffe, dass man mir helfen kann...
Das habe ich bisher schon gemacht
- mich über meine eigene Dummheit geärgert
- am Sa einen Quick-Scan mit Malewarbytes gemacht
- am Sa einen Scan mit ESET gemacht
- gestern Abend noch einen Quick-Scan mit Malewarebytes gemacht (hatte aber vorher nicht upgedatet)
- während dieses Quick-Scans meldete mein Avira Funde
- anschließend habe ich einen Vollscan mit Malewarebytes und Avira durchgeführt
- gerade habe ich nochmal einen Scan mit ESET gemacht
Hier die Logs:
Malewarebytes Sa:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 7955
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
15.10.2011 22:22:02
mbam-log-2011-10-15 (22-22-02).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 224878
Laufzeit: 2 Minute(n), 52 Sekunde(n)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
c:\Users\Korbi\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 2488 -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IWpI4Sb0nAGxDkL (Trojan.Agent) -> Value: IWpI4Sb0nAGxDkL -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\Users\Korbi\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Korbi\AppData\Roaming\audiotreiber_x64.exe (Trojan.Agent) -> Quarantined and deleted successfully.
|
ESET vom Sa und gerade eben:
Zitat:
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=c43998379a14814eb02345a6deabf89e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-15 10:47:23
# local_time=2011-10-16 12:47:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 19812 19812 0 0
# compatibility_mode=5893 16776574 100 94 1045 70345293 0 0
# compatibility_mode=8192 67108863 100 0 1358 1358 0 0
# scanned=190113
# found=0
# cleaned=0
# scan_time=3400
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=c43998379a14814eb02345a6deabf89e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-20 07:01:11
# local_time=2011-10-20 09:01:11 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 438287 438287 0 0
# compatibility_mode=5893 16776574 100 94 539 70763768 0 0
# compatibility_mode=8192 67108863 100 0 419833 419833 0 0
# scanned=189191
# found=0
# cleaned=0
# scan_time=3353
|
Nicht upgedateter Malewarebytes-Scan von gestern:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 7955
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
19.10.2011 21:21:40
mbam-log-2011-10-19 (21-21-40).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 224619
Laufzeit: 4 Minute(n), 16 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
Avira-Funde während des Scans:
Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 19. Oktober 2011 21:21
Es wird nach 3414164 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KORBI-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.855 41827 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 11.10.2011 12:59:38
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.20 227024 Bytes 11.10.2011 12:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 16:21:04
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 17:25:19
VBASE018.VDF : 7.11.16.35 2048 Bytes 18.10.2011 17:25:19
VBASE019.VDF : 7.11.16.36 2048 Bytes 18.10.2011 17:25:19
VBASE020.VDF : 7.11.16.37 2048 Bytes 18.10.2011 17:25:19
VBASE021.VDF : 7.11.16.38 2048 Bytes 18.10.2011 17:25:19
VBASE022.VDF : 7.11.16.39 2048 Bytes 18.10.2011 17:25:19
VBASE023.VDF : 7.11.16.40 2048 Bytes 18.10.2011 17:25:19
VBASE024.VDF : 7.11.16.41 2048 Bytes 18.10.2011 17:25:19
VBASE025.VDF : 7.11.16.42 2048 Bytes 18.10.2011 17:25:19
VBASE026.VDF : 7.11.16.43 2048 Bytes 18.10.2011 17:25:19
VBASE027.VDF : 7.11.16.44 2048 Bytes 18.10.2011 17:25:20
VBASE028.VDF : 7.11.16.45 2048 Bytes 18.10.2011 17:25:20
VBASE029.VDF : 7.11.16.46 2048 Bytes 18.10.2011 17:25:20
VBASE030.VDF : 7.11.16.47 2048 Bytes 18.10.2011 17:25:20
VBASE031.VDF : 7.11.16.66 100864 Bytes 19.10.2011 17:53:04
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 11.10.2011 12:59:35
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 12.10.2011 11:41:59
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4e9f0e09\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Mittwoch, 19. Oktober 2011 21:21
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'NOTEPAD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OfficeVirt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DeskUpdateNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YouCamTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUJ02E3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\Korbi\AppData\Local\Temp\34710.exe'
C:\Users\Korbi\AppData\Local\Temp\34710.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.54
Beginne mit der Suche in 'C:\Users\Korbi\AppData\Local\Temp\97041.exe'
C:\Users\Korbi\AppData\Local\Temp\97041.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.54
Beginne mit der Suche in 'C:\Users\Korbi\AppData\Local\Temp\98682.exe'
C:\Users\Korbi\AppData\Local\Temp\98682.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.54
Beginne mit der Desinfektion:
C:\Users\Korbi\AppData\Local\Temp\98682.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.54
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2483ca.qua' verschoben!
C:\Users\Korbi\AppData\Local\Temp\97041.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.54
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53a9ac6c.qua' verschoben!
C:\Users\Korbi\AppData\Local\Temp\34710.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.54
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01eff699.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 19. Oktober 2011 21:22
Benötigte Zeit: 00:00 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
25 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
22 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
3 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
|
Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 19. Oktober 2011 21:21
Es wird nach 3414164 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KORBI-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.855 41827 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 11.10.2011 12:59:38
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.20 227024 Bytes 11.10.2011 12:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 16:21:04
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 17:25:19
VBASE018.VDF : 7.11.16.35 2048 Bytes 18.10.2011 17:25:19
VBASE019.VDF : 7.11.16.36 2048 Bytes 18.10.2011 17:25:19
VBASE020.VDF : 7.11.16.37 2048 Bytes 18.10.2011 17:25:19
VBASE021.VDF : 7.11.16.38 2048 Bytes 18.10.2011 17:25:19
VBASE022.VDF : 7.11.16.39 2048 Bytes 18.10.2011 17:25:19
VBASE023.VDF : 7.11.16.40 2048 Bytes 18.10.2011 17:25:19
VBASE024.VDF : 7.11.16.41 2048 Bytes 18.10.2011 17:25:19
VBASE025.VDF : 7.11.16.42 2048 Bytes 18.10.2011 17:25:19
VBASE026.VDF : 7.11.16.43 2048 Bytes 18.10.2011 17:25:19
VBASE027.VDF : 7.11.16.44 2048 Bytes 18.10.2011 17:25:20
VBASE028.VDF : 7.11.16.45 2048 Bytes 18.10.2011 17:25:20
VBASE029.VDF : 7.11.16.46 2048 Bytes 18.10.2011 17:25:20
VBASE030.VDF : 7.11.16.47 2048 Bytes 18.10.2011 17:25:20
VBASE031.VDF : 7.11.16.66 100864 Bytes 19.10.2011 17:53:04
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 11.10.2011 12:59:35
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 12.10.2011 11:41:59
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4e9f0e09\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Mittwoch, 19. Oktober 2011 21:21
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OfficeVirt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DeskUpdateNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YouCamTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUJ02E3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\Korbi\AppData\Local\Temp\14884.exe'
C:\Users\Korbi\AppData\Local\Temp\14884.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.54
Beginne mit der Desinfektion:
C:\Users\Korbi\AppData\Local\Temp\14884.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Phorpiex.B.54
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b0e8c11.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 19. Oktober 2011 21:22
Benötigte Zeit: 00:01 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
22 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
21 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
|
Vollscan mit Malewarebytes:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 7984
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
20.10.2011 06:47:21
mbam-log-2011-10-20 (06-47-21).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Durchsuchte Objekte: 401800
Laufzeit: 51 Minute(n), 17 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\Users\Korbi\AppData\Local\Temp\4602513.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\Korbi\AppData\Local\Temp\5239082.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\Korbi\AppData\Local\Temp\6076313.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\Korbi\AppData\Local\Temp\6141851.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\Korbi\AppData\Local\Temp\7653653.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
|
Scan mit Avira:
Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 20. Oktober 2011 06:51
Es wird nach 3415594 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KORBI-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.855 41827 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 11.10.2011 12:59:38
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.20 227024 Bytes 11.10.2011 12:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 16:21:04
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 17:25:19
VBASE018.VDF : 7.11.16.35 2048 Bytes 18.10.2011 17:25:19
VBASE019.VDF : 7.11.16.36 2048 Bytes 18.10.2011 17:25:19
VBASE020.VDF : 7.11.16.37 2048 Bytes 18.10.2011 17:25:19
VBASE021.VDF : 7.11.16.38 2048 Bytes 18.10.2011 17:25:19
VBASE022.VDF : 7.11.16.39 2048 Bytes 18.10.2011 17:25:19
VBASE023.VDF : 7.11.16.40 2048 Bytes 18.10.2011 17:25:19
VBASE024.VDF : 7.11.16.41 2048 Bytes 18.10.2011 17:25:19
VBASE025.VDF : 7.11.16.42 2048 Bytes 18.10.2011 17:25:19
VBASE026.VDF : 7.11.16.43 2048 Bytes 18.10.2011 17:25:19
VBASE027.VDF : 7.11.16.44 2048 Bytes 18.10.2011 17:25:20
VBASE028.VDF : 7.11.16.45 2048 Bytes 18.10.2011 17:25:20
VBASE029.VDF : 7.11.16.46 2048 Bytes 18.10.2011 17:25:20
VBASE030.VDF : 7.11.16.47 2048 Bytes 18.10.2011 17:25:20
VBASE031.VDF : 7.11.16.73 122368 Bytes 20.10.2011 04:51:03
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 11.10.2011 12:59:35
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 12.10.2011 11:41:59
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, Q:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Donnerstag, 20. Oktober 2011 06:51
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Media Player NSS\3.0\Servers\5E2EEE4B-36E4-4356-8397-103DDB4A0DA5\ipaddress
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Media Player NSS\3.0\Servers\E681AD52-5F93-482A-9DBC-7E44588EA984\ipaddress
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Malwarebytes' Anti-Malware\script
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\SoftGrid\4.5\Client\AppFS\contextid
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
"C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0015\Linkage\upperbind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{2ECF9F51-1972-41A3-947C-630CAC860515}\Connection\name
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{2ECF9F51-1972-41A3-947C-630CAC860515}\Connection\name
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\AppDomains\Communications.CCC.exe.CCC.1072\channelurl
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\AppDomains\Communications.CCC.exe.CCC.1072\processid
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\AppDomains\Communications.MOM.exe.MOM.3236\channelurl
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\AppDomains\Communications.MOM.exe.MOM.3236\processid
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\Processes\1072\AppDomains\communications.ccc.exe.ccc.1072
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
CCC
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.EXE
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\Processes\1072\Services\hotkeysource
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\Processes\1072\Services\aem
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\Processes\1072\Services\component.runtime
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\Processes\1072\Services\profilemanager
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\Processes\1072\Services\runtime
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\Processes\3236\AppDomains\communications.mom.exe.mom.3236
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
MOM
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-351109351-4133078722-3413134335-1000\Software\ATI\ACE\Settings\Runtime\runtime hydravision caste constructor proctime
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'DeskUpdateNotifier.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'YouCamTray.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUJ02E3.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1077' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <System>
Beginne mit der Suche in 'D:\' <Data>
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert
Ende des Suchlaufs: Donnerstag, 20. Oktober 2011 07:48
Benötigte Zeit: 57:08 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
44890 Verzeichnisse wurden überprüft
376196 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
376196 Dateien ohne Befall
3465 Archive wurden durchsucht
0 Warnungen
24 Hinweise
370262 Objekte wurden beim Rootkitscan durchsucht
25 Versteckte Objekte wurden gefunden
|
20.10.2011, 20:24
Baum-Darstellung