Befall mit mehreren Schadprogrammen, u.a Spy.Banker.Gen2

Ammerwasser

Hallo Trojanerboarder,

bin ein standartlaptopuser der hilfe braucht.

letzte Woche hat mein pc angefangen faxen zu machen, nachdem ich mit avira einen scan gemacht habe hatt er auch einige schadprogramme gefunden
und, wie ich dachte, auch gelöscht.

Diese Woche ist aber wieder eine Fehlermeldung über Avira aufgetreten.
Auch das Programm Spyware Terminator das ich mir aufgrund des befalls runtergeladen habe zeigt sozusagen täglich infizierte Dateien.

Nachdem ich mich auf eurem Board etwas informieren konnte aber festgestellt habe das man bei einem Problem(Trojaner?) wie dem Spy.Banker.Gen2 immer eine spezielle Hilfestellung braucht habe ich mich dazu entschlossen einen eigenen Thread zu eröffnen.

Nach Möglichkeit würde ich einen kompletten Reboot des Systems gerne vermeiden da sehr viele Bilder und auch Musik auf meinem Rechner sind

im Anhang die OTLscans und der Scan mit Malwarebytes



Die Eckdaten meines Systems:
Betriebssystemname Microsoft® Windows Vista™ Home Premium
Version 6.0.6002 Service Pack 2 Build 6002
Zusätzliche Betriebssystembeschreibung Nicht verfügbar
Betriebssystemhersteller Microsoft Corporation
Systemname ***-PC
Systemhersteller SAMSUNG ELECTRONICS CO., LTD.
Systemmodell R710
Systemtyp X86-basierter PC
Prozessor Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz, 2267 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum Phoenix Technologies Ltd. 05SV.MP00.20080926.WZW, 26.09.2008
SMBIOS-Version 2.5
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume2
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.0.6002.18005"
Benutzername ***-PC\***
Zeitzone Mitteleuropäische Zeit
Installierter physikalischer Speicher (RAM) 4,00 GB
Gesamter realer Speicher 2,99 GB
Verfügbarer realer Speicher 1,75 GB
Gesamter virtueller Speicher 6,18 GB
Verfügbarer virtueller Speicher 4,87 GB
Größe der Auslagerungsdatei 3,29 GB
Auslagerungsdatei C:\pagefile.sys



der 1. Avirascan von letzter Woche:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 23. November 2011 12:16

Es wird nach 3588348 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 22:29:14
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 22:29:14
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 22:29:14
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 22:29:14
AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 01:48:51
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:28:46
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:08:46
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 13:50:06
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 17:21:51
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 14:31:53
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 00:15:08
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 01:20:46
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 14:20:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 14:20:57
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 14:20:57
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 14:20:57
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 14:20:58
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 14:20:58
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:37:39
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:37:38
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 12:37:42
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 18:20:30
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 10:23:39
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 10:23:39
VBASE019.VDF : 7.11.16.112 162816 Bytes 24.10.2011 15:37:05
VBASE020.VDF : 7.11.16.150 167424 Bytes 26.10.2011 15:37:05
VBASE021.VDF : 7.11.16.187 171520 Bytes 28.10.2011 15:15:30
VBASE022.VDF : 7.11.16.209 190976 Bytes 31.10.2011 09:38:05
VBASE023.VDF : 7.11.16.243 158208 Bytes 02.11.2011 11:19:01
VBASE024.VDF : 7.11.17.21 194560 Bytes 06.11.2011 09:38:04
VBASE025.VDF : 7.11.17.101 202752 Bytes 09.11.2011 11:07:12
VBASE026.VDF : 7.11.17.137 214528 Bytes 11.11.2011 15:52:39
VBASE027.VDF : 7.11.17.154 278528 Bytes 14.11.2011 10:59:20
VBASE028.VDF : 7.11.17.197 175616 Bytes 16.11.2011 10:59:21
VBASE029.VDF : 7.11.17.233 281088 Bytes 20.11.2011 10:59:21
VBASE030.VDF : 7.11.18.10 221696 Bytes 22.11.2011 10:59:22
VBASE031.VDF : 7.11.18.16 14336 Bytes 23.11.2011 10:59:22
Engineversion : 8.2.6.116
AEVDF.DLL : 8.1.2.2 106868 Bytes 27.10.2011 15:37:13
AESCRIPT.DLL : 8.1.3.86 471420 Bytes 23.11.2011 10:59:26
AESCN.DLL : 8.1.7.2 127349 Bytes 31.01.2011 18:08:46
AESBX.DLL : 8.2.1.34 323957 Bytes 06.06.2011 19:11:52
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 00:09:25
AEPACK.DLL : 8.2.13.4 684406 Bytes 11.11.2011 09:28:43
AEOFFICE.DLL : 8.1.2.20 201083 Bytes 23.11.2011 10:59:26
AEHEUR.DLL : 8.1.2.192 3838328 Bytes 23.11.2011 10:59:26
AEHELP.DLL : 8.1.18.0 254327 Bytes 27.10.2011 15:37:07
AEGEN.DLL : 8.1.5.14 405877 Bytes 23.11.2011 10:59:23
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2011 18:08:46
AECORE.DLL : 8.1.24.0 196983 Bytes 27.10.2011 15:37:06
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 01:06:21
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 22:29:14
AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 18:22:07
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 22:29:14
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 22:29:14
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 22:29:14
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 22:29:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 23. November 2011 12:16

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1473927779-805209499-3344437726-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1473927779-805209499-3344437726-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinVNC4.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '142' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1263' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\***\AppData\Local\Temp\plugtmp-34\plugin-2fdp.php
[0] Archivtyp: PDF
--> pdf_form_0.avp
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.PDF.Gen3
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\1dca664e-2238028d
[0] Archivtyp: ZIP
--> support/Pipe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
--> support/SendMail.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EO
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\57b9b494-68fa3dcd
[0] Archivtyp: ZIP
--> encode/Unicode.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.BQ
--> setup/lang.class
[FUND] Ist das Trojanische Pferd TR/Dldr.OpenConnection.JS
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\363c805b-20f4395c
[0] Archivtyp: ZIP
--> report/Generator.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EB
--> report/HDDDetect.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.T
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\107aebea-7c4dd1b7
[0] Archivtyp: ZIP
--> support/IO.class
[FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/2011.BHQ
--> support/Pipe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
--> support/SendMail.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EO
--> support/SmartyPointer.class
[FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/2011.BHZ
--> support/Socket.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\1876a82f-25b56a96
[0] Archivtyp: ZIP
--> bpac/b.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.L
--> bpac/KAVS.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.BB
--> bpac/purok.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\4e298471-57312830
[0] Archivtyp: ZIP
--> json/Parser.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EV
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\262693b9-647901d6
[0] Archivtyp: ZIP
--> bpac/b.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.L
--> bpac/KAVS.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.BB
--> bpac/purok.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\3b2749bd-1b7dce5f
[0] Archivtyp: ZIP
--> mail/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE2010-0840.A
--> mail/SendMail.class
[FUND] Enthält Erkennungsmuster eines vermutlich beschädigten Samples CC/2011.DX
--> mail/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\299913be-322d04ee
[0] Archivtyp: ZIP
--> mail/Cid.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.FP.2
--> mail/MailAgent.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.B
--> mail/SendMail.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EO
--> mail/VirtualTable.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.A
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\10f6f088-4c65c58e
[0] Archivtyp: ZIP
--> encode/ANSI.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.W
--> encode/ISO.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.J
--> encode/KOI.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.O
--> encode/UTF.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.BO
--> setup/lang.class
[FUND] Ist das Trojanische Pferd TR/Dldr.OpenConnection.G.2
C:\Users\***\AppData\Roaming\5042\components\AcroFF5.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen2
C:\Users\***\AppData\Roaming\5042\components\AcroFF6.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen2
C:\Users\***\AppData\Roaming\5042\components\AcroFF7.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.bvnj
C:\Users\***\AppData\Roaming\5042\components\AcroFF8.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.bvni.1
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Users\***\AppData\Roaming\5042\components\AcroFF8.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.bvni.1
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\Roaming\5042\components\AcroFF7.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.bvnj
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\Roaming\5042\components\AcroFF6.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen2
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\Roaming\5042\components\AcroFF5.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Banker.Gen2
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\10f6f088-4c65c58e
[FUND] Ist das Trojanische Pferd TR/Dldr.OpenConnection.G.2
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\299913be-322d04ee
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.A
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\3b2749bd-1b7dce5f
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.AR
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\262693b9-647901d6
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\4e298471-57312830
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EV
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\1876a82f-25b56a96
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\107aebea-7c4dd1b7
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\363c805b-20f4395c
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.T
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\57b9b494-68fa3dcd
[FUND] Ist das Trojanische Pferd TR/Dldr.OpenConnection.JS
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\1dca664e-2238028d
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EO
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\***\AppData\Local\Temp\plugtmp-34\plugin-2fdp.php
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.PDF.Gen3
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Mittwoch, 23. November 2011 17:18
Benötigte Zeit: 2:24:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

35773 Verzeichnisse wurden überprüft
689560 Dateien wurden geprüft
35 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
15 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
689525 Dateien ohne Befall
2829 Archive wurden durchsucht
0 Warnungen
17 Hinweise
829280 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

Der 2. Avirascan von dieser Woche:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 30. November 2011 12:13

Es wird nach 3495336 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 22:29:14
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 22:29:14
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 22:29:14
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 22:29:14
AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 01:48:51
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:28:46
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:08:46
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 13:50:06
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 17:21:51
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 14:31:53
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 00:15:08
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 01:20:46
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 14:20:54
VBASE008.VDF : 7.11.18.32 2132992 Bytes 24.11.2011 10:50:44
VBASE009.VDF : 7.11.18.33 2048 Bytes 24.11.2011 10:50:44
VBASE010.VDF : 7.11.18.34 2048 Bytes 24.11.2011 10:50:44
VBASE011.VDF : 7.11.18.35 2048 Bytes 24.11.2011 10:50:44
VBASE012.VDF : 7.11.18.36 2048 Bytes 24.11.2011 10:50:44
VBASE013.VDF : 7.11.18.89 204800 Bytes 28.11.2011 10:50:44
VBASE014.VDF : 7.11.18.90 2048 Bytes 28.11.2011 10:50:44
VBASE015.VDF : 7.11.18.91 2048 Bytes 28.11.2011 10:50:44
VBASE016.VDF : 7.11.18.92 2048 Bytes 28.11.2011 10:50:44
VBASE017.VDF : 7.11.18.93 2048 Bytes 28.11.2011 10:50:44
VBASE018.VDF : 7.11.18.94 2048 Bytes 28.11.2011 10:50:44
VBASE019.VDF : 7.11.18.95 2048 Bytes 28.11.2011 10:50:44
VBASE020.VDF : 7.11.18.96 2048 Bytes 28.11.2011 10:50:44
VBASE021.VDF : 7.11.18.97 2048 Bytes 28.11.2011 10:50:44
VBASE022.VDF : 7.11.18.98 2048 Bytes 28.11.2011 10:50:44
VBASE023.VDF : 7.11.18.99 2048 Bytes 28.11.2011 10:50:44
VBASE024.VDF : 7.11.18.100 2048 Bytes 28.11.2011 10:50:44
VBASE025.VDF : 7.11.18.101 2048 Bytes 28.11.2011 10:50:44
VBASE026.VDF : 7.11.18.102 2048 Bytes 28.11.2011 10:50:44
VBASE027.VDF : 7.11.18.103 2048 Bytes 28.11.2011 10:50:45
VBASE028.VDF : 7.11.18.104 2048 Bytes 28.11.2011 10:50:45
VBASE029.VDF : 7.11.18.105 2048 Bytes 28.11.2011 10:50:45
VBASE030.VDF : 7.11.18.106 2048 Bytes 28.11.2011 10:50:45
VBASE031.VDF : 7.11.18.131 108544 Bytes 30.11.2011 10:50:45
Engineversion : 8.2.6.120
AEVDF.DLL : 8.1.2.2 106868 Bytes 27.10.2011 15:37:13
AESCRIPT.DLL : 8.1.3.87 475516 Bytes 30.11.2011 10:50:46
AESCN.DLL : 8.1.7.2 127349 Bytes 31.01.2011 18:08:46
AESBX.DLL : 8.2.1.34 323957 Bytes 06.06.2011 19:11:52
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 00:09:25
AEPACK.DLL : 8.2.13.4 684406 Bytes 11.11.2011 09:28:43
AEOFFICE.DLL : 8.1.2.20 201083 Bytes 23.11.2011 10:59:26
AEHEUR.DLL : 8.1.2.193 3850617 Bytes 30.11.2011 10:50:46
AEHELP.DLL : 8.1.18.0 254327 Bytes 27.10.2011 15:37:07
AEGEN.DLL : 8.1.5.14 405877 Bytes 23.11.2011 10:59:23
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2011 18:08:46
AECORE.DLL : 8.1.24.0 196983 Bytes 27.10.2011 15:37:06
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 01:06:21
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 22:29:14
AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 18:22:07
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 22:29:14
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 22:29:14
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 22:29:14
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 22:29:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20111130-120937-B02DFE29.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 30. November 2011 12:13

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-1473927779-805209499-3344437726-1003\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1473927779-805209499-3344437726-1003\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpywareTerminatorUpdate.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpywareTerminatorShield.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinVNC4.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'st_rsser.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '142' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1269' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Mittwoch, 30. November 2011 14:57
Benötigte Zeit: 2:43:51 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

35874 Verzeichnisse wurden überprüft
713755 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
713755 Dateien ohne Befall
2891 Archive wurden durchsucht
0 Warnungen
2 Hinweise
836100 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden


Ich hoffe das sind genug Infos für eine erste Analyse

Vielen Dank im vorraus für eure Bemühungen

Mit freundlichen Grüßen