Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden

TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden


Log-Analyse und Auswertung: TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 06.07.2013, 04:09   #1
mib
 
TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden - Standard

TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden


Hallo liebe Trojaner-Board Community!

Nachdem ich in den letzten Tagen häufig das Avira Antivir Warnsignal zu hören bekommen habe, habe ich eine vollständige Systemprüfung (mit Avira Free Antivirus) gestartet, mit folgendem Ergebnis (LOG-File):

Code:
ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 03. Juli 2013  22:15


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : HO
Computername   : HO-LAPTOP

Versionsinformationen:
BUILD.DAT      : 13.0.0.3737    54853 Bytes  20.06.2013 15:37:00
AVSCAN.EXE     : 13.6.0.1722   634936 Bytes  03.07.2013 18:23:34
AVSCANRC.DLL   : 13.6.0.1550    62520 Bytes  03.07.2013 18:23:34
LUKE.DLL       : 13.6.0.1550    65080 Bytes  03.07.2013 18:23:53
AVSCPLR.DLL    : 13.6.0.1712    92216 Bytes  03.07.2013 18:23:34
AVREG.DLL      : 13.6.0.1550   247864 Bytes  03.07.2013 18:23:32
avlode.dll     : 13.6.2.1704   449592 Bytes  03.07.2013 18:23:31
avlode.rdf     : 13.0.1.18      26349 Bytes  21.06.2013 20:05:29
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 20:15:15
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 17:57:39
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 17:35:09
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 17:40:02
VBASE004.VDF   : 7.11.85.215     2048 Bytes  21.06.2013 17:40:02
VBASE005.VDF   : 7.11.85.216     2048 Bytes  21.06.2013 17:40:02
VBASE006.VDF   : 7.11.85.217     2048 Bytes  21.06.2013 17:40:03
VBASE007.VDF   : 7.11.85.218     2048 Bytes  21.06.2013 17:40:03
VBASE008.VDF   : 7.11.85.219     2048 Bytes  21.06.2013 17:40:03
VBASE009.VDF   : 7.11.85.220     2048 Bytes  21.06.2013 17:40:03
VBASE010.VDF   : 7.11.85.221     2048 Bytes  21.06.2013 17:40:03
VBASE011.VDF   : 7.11.85.222     2048 Bytes  21.06.2013 17:40:03
VBASE012.VDF   : 7.11.85.223     2048 Bytes  21.06.2013 17:40:03
VBASE013.VDF   : 7.11.85.224     2048 Bytes  21.06.2013 17:40:03
VBASE014.VDF   : 7.11.86.93    870400 Bytes  24.06.2013 18:11:07
VBASE015.VDF   : 7.11.86.223   331776 Bytes  25.06.2013 18:12:02
VBASE016.VDF   : 7.11.87.67    204800 Bytes  27.06.2013 17:41:05
VBASE017.VDF   : 7.11.87.157   247296 Bytes  28.06.2013 10:18:28
VBASE018.VDF   : 7.11.87.221   196608 Bytes  30.06.2013 16:52:15
VBASE019.VDF   : 7.11.88.51    356352 Bytes  02.07.2013 18:23:23
VBASE020.VDF   : 7.11.88.119   182272 Bytes  03.07.2013 18:23:24
VBASE021.VDF   : 7.11.88.120     2048 Bytes  03.07.2013 18:23:24
VBASE022.VDF   : 7.11.88.121     2048 Bytes  03.07.2013 18:23:24
VBASE023.VDF   : 7.11.88.122     2048 Bytes  03.07.2013 18:23:24
VBASE024.VDF   : 7.11.88.123     2048 Bytes  03.07.2013 18:23:25
VBASE025.VDF   : 7.11.88.124     2048 Bytes  03.07.2013 18:23:25
VBASE026.VDF   : 7.11.88.125     2048 Bytes  03.07.2013 18:23:25
VBASE027.VDF   : 7.11.88.126     2048 Bytes  03.07.2013 18:23:25
VBASE028.VDF   : 7.11.88.127     2048 Bytes  03.07.2013 18:23:25
VBASE029.VDF   : 7.11.88.128     2048 Bytes  03.07.2013 18:23:25
VBASE030.VDF   : 7.11.88.129     2048 Bytes  03.07.2013 18:23:25
VBASE031.VDF   : 7.11.88.152    70144 Bytes  03.07.2013 18:23:25
Engineversion  : 8.2.12.68 
AEVDF.DLL      : 8.1.3.4       102774 Bytes  13.06.2013 20:45:55
AESCRIPT.DLL   : 8.1.4.126     483710 Bytes  29.06.2013 00:02:41
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.03.2013 21:06:55
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.2.0.128     688504 Bytes  13.06.2013 20:45:53
AEPACK.DLL     : 8.3.2.24      749945 Bytes  21.06.2013 20:05:28
AEOFFICE.DLL   : 8.1.2.60      205181 Bytes  18.06.2013 21:48:42
AEHEUR.DLL     : 8.1.4.436    5964154 Bytes  29.06.2013 00:02:40
AEHELP.DLL     : 8.1.27.4      266617 Bytes  29.06.2013 00:02:35
AEGEN.DLL      : 8.1.7.6       442742 Bytes  28.06.2013 17:41:06
AEEXP.DLL      : 8.4.0.34      201079 Bytes  05.06.2013 19:18:08
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.31.6      201081 Bytes  28.06.2013 17:41:06
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 14:00:38
AVWINLL.DLL    : 13.6.0.1550    23608 Bytes  03.07.2013 18:23:21
AVPREF.DLL     : 13.6.0.1550    48184 Bytes  03.07.2013 18:23:32
AVREP.DLL      : 13.6.0.1550   175672 Bytes  03.07.2013 18:23:33
AVARKT.DLL     : 13.6.0.1626   258104 Bytes  03.07.2013 18:23:26
AVEVTLOG.DLL   : 13.6.0.1550   164920 Bytes  03.07.2013 18:23:29
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.6.0.1550    59960 Bytes  03.07.2013 18:23:35
NETNT.DLL      : 13.6.0.1550    13368 Bytes  03.07.2013 18:23:53
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  12.12.2012 00:30:38
RCTEXT.DLL     : 13.6.0.1624    67128 Bytes  03.07.2013 18:23:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 03. Juli 2013  22:15

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'vlc.exe' - '146' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTouchUser.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'vlc.exe' - '190' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipmGui.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'WPFFontCache_v0400.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'Taskmgr.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '173' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apntex.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'HidFind.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'InputPersonalization.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'T3Mon.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_TabletUser.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '190' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'TabTip.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'WISPTIS.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Pen_Tablet.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'T3Srv.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'aestsrv.exe' - '5' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'TabTip.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'WISPTIS.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTouchService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'DockLogin.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\HO\AppData\Roaming\Ygkoe\epuwz.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.mvxj

Die Registry wurde durchsucht ( '6589' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
    [0] Archivtyp: RSRC
    --> C:\Users\HO\AppData\Roaming\Dropbox\bin\Dropbox.exe
        [1] Archivtyp: RSRC
      --> C:\DATA\Installer\Dell Treiber\BIOS\1537_A09.EXE
          [2] Archivtyp: RSRC
        --> C:\DATA\Installer\Dell Treiber\BIOS\R302071.EXE
            [3] Archivtyp: ZIP SFX (self extracting)
          --> C:\DATA\Installer\Internet\Dropbox 0.7.110.exe
              [4] Archivtyp: NSIS
            --> C:\DELL\drivers\R302071\1537_A11.exe
                [5] Archivtyp: RSRC
              --> C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVSCAN-20130703-221512-398C551C\000011DC-846F84CE
                  [6] Archivtyp: RSRC
                --> \\?\C:\Users\HO\AppData\Local\Opera\Opera\profile\cache4\opr1P62Q
                    [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Users\HO\AppData\Local\Opera\Opera\profile\cache4\opr1P62Q
  [WARNUNG]   Die Datei konnte nicht gelesen werden!
C:\Users\HO\AppData\Local\Temp\tmp01fde08d\43.exe
  [FUND]      Ist das Trojanische Pferd TR/Bublik.61440.69
C:\Users\HO\AppData\Local\Temp\tmp3182f638\53.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.2350087
C:\Users\HO\AppData\Local\Temp\tmp89c15efc\8342.exe
  [FUND]      Ist das Trojanische Pferd TR/Bublik.I.17
C:\Users\HO\AppData\Local\Temp\tmpc0b22898\08.exe
  [FUND]      Ist das Trojanische Pferd TR/Symmi.2319364
                --> C:\Users\HO\AppData\Local\Temp\jre-7u13-windows-i586-iftw.exe
                    [7] Archivtyp: Runtime Packed
                  --> C:\Users\HO\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe
                      [8] Archivtyp: Runtime Packed
                    --> C:\Users\HO\AppData\Local\Temp\jre-7u9-windows-i586-iftw.exe
                        [9] Archivtyp: Runtime Packed
                      --> C:\Users\HO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\5e09fa1a-451ef45e
                          [10] Archivtyp: ZIP
                        --> a.class
                            [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-2423.CO
                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
                        --> chsnsisine.class
                            [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Konstr.K
                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
                        --> Code$asdasdsadasdsad.class
                            [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.MP
                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
                        --> Code$bruteforces.class
                            [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Pesur.ER
                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
                        --> Code$geoneirnof.class
                            [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Pesur.EQ
                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
                        --> Code$SystemClass.class
                            [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.MM
                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
                        --> Code.class
                            [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2013-2423.CQ
                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
                        --> d.class
                            [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.PY
                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
                        --> picture.class
                            [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.SQ
                            [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\HO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\5e09fa1a-451ef45e
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.SQ
C:\Users\HO\AppData\Roaming\Ygkoe\epuwz.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.mvxj
Beginne mit der Suche in 'D:\' <RECOVERY>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [3]: Das System kann den angegebenen Pfad nicht finden.

Beginne mit der Desinfektion:
C:\Users\HO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26\5e09fa1a-451ef45e
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.SQ
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '574563ed.qua' verschoben!
C:\Users\HO\AppData\Local\Temp\tmpc0b22898\08.exe
  [FUND]      Ist das Trojanische Pferd TR/Symmi.2319364
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fd44c9d.qua' verschoben!
C:\Users\HO\AppData\Local\Temp\tmp89c15efc\8342.exe
  [FUND]      Ist das Trojanische Pferd TR/Bublik.I.17
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d811670.qua' verschoben!
C:\Users\HO\AppData\Local\Temp\tmp3182f638\53.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.2350087
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bbc59b2.qua' verschoben!
C:\Users\HO\AppData\Local\Temp\tmp01fde08d\43.exe
  [FUND]      Ist das Trojanische Pferd TR/Bublik.61440.69
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3e38748c.qua' verschoben!
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1972116828-1665639233-3667678455-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1972116828-1665639233-3667678455-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1972116828-1665639233-3667678455-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Agfoonu> konnte nicht entfernt werden.
C:\Users\HO\AppData\Roaming\Ygkoe\epuwz.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.mvxj
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '416a4630.qua' verschoben!
  [WARNUNG]   Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Agfoonu> konnte nicht repariert werden.
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Außer den Antivir-Warnungen (und häufigen Update-Anfragen von java) habe ich keine Symptome beobachtet, ich nutze aber zurzeit auch kein Online Banking.

Ich habe mir im Anschluss (auf Hinweis dieses Forums) Malwarebytes Antimalware heruntergeladen und ebenfalls eine vollständige Prüfung durchgeführt (siehe Logfile). Dabei sind nurnoch einige Altlasten gefunden worden in Dateien, die ich vor Jahren mal heruntergeladen hatte.

Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.07.04.08

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
HO :: HO-LAPTOP [Administrator]

04.07.2013 22:09:18
mbam-log-2013-07-04 (22-09-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 1256846
Laufzeit: 14 Stunde(n), 59 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 14
C:\DATA\STUFF\TOSORT\Backup Medion Rechner\Zeug zum sortieren\Einzeldateien\fr08_final.zip (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\DATA\STUFF\TOSORT\Backup Medion Rechner\Zeug zum sortieren\Einzeldateien\techdemos\fr-030_candytron_party.zip (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\DATA\STUFF\TOSORT\Backup Medion Rechner\Zeug zum sortieren\Einzeldateien\techdemos\fr08_final.zip (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\DATA\STUFF\TOSORT\Backup Medion Rechner\Zeug zum sortieren\Einzeldateien\techdemos\fr-030_candytron_party\fr-030 candytron party.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\DATA\STUFF\TOSORT\Backup Medion Rechner\Zeug zum sortieren\Einzeldateien\techdemos\fr08_final\fr08v101.exe (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\DATA\STUFF\VIDEO\TechDemo\GFXDEMOS\3d brillen demos\fr-044_patient_zero.zip (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\DATA\STUFF\VIDEO\TechDemo\GFXDEMOS\3d brillen demos\fr029.zip (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\HO\Desktop\Zeug\_WISSEN\C_Neuer Ordner_Informationen_Themen (Backup Medion)\MEDIA\GFX DEMOS\fr08_final.zip (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\HO\Desktop\Zeug\_WISSEN\C_Neuer Ordner_Informationen_Themen (Backup Medion)\MEDIA\GFX DEMOS\techdemos\fr-030_candytron_party.zip (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\HO\Desktop\Zeug\_WISSEN\C_Neuer Ordner_Informationen_Themen (Backup Medion)\MEDIA\GFX DEMOS\techdemos\fr08_final.zip (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\HO\Desktop\Zeug\_WISSEN\C_Neuer Ordner_Informationen_Themen (Backup Medion)\MEDIA\GFX DEMOS\techdemos\fr-030_candytron_party\fr-030 candytron party.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\HO\Desktop\Zeug\_WISSEN\C_Neuer Ordner_Informationen_Themen (Backup Medion)\MEDIA\GFX DEMOS\techdemos\fr08_final\fr08v101.exe (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Teilbackup 06.05.11\STUFF\VIDEO\TechDemo\GFXDEMOS\3d brillen demos\fr-044_patient_zero.zip (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Teilbackup 06.05.11\STUFF\VIDEO\TechDemo\GFXDEMOS\3d brillen demos\fr029.zip (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Außerdem habe ich mir die neueste java Version installiert und Version 6 deinstalliert. Ich habe die Option "[ ] Temporäre Dateien auf Rechner behalten" deaktiviert, aber keine alten temporären java-Dateien gelöscht.

Ich habe dann auf Anfrage von Malwarebytes den Computer neu gestartet.

Würdet ihr mir noch weitere Tools/Schritte empfehlen, um den Spy.Zbot auch wirklich loszuwerden?

Vielen Dank schonmal!

 

Themen zu TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden
administrator, antivirus, exp/cve-2012-1723.mm, exp/cve-2012-1723.mp, exp/cve-2013-2423.co, exp/cve-2013-2423.cq, internet, java/agent.py, java/agent.sq, java/dldr.konstr.k, java/dldr.pesur.eq, java/dldr.pesur.er, malware.gen, malware.packer.krunchy, neustart, prozesse, services.exe, svchost.exe, tr/bublik.61440.69, tr/bublik.i.17, tr/spy.zbot, tr/spy.zbot.2350087, tr/spy.zbot.mvxj, tr/symmi.2319364, winlogon.exe


« GVU Trojaner Logs | Warnung vor Free Driver Scout, dieser installiert Malware! plushd.exe »


Ähnliche Themen: TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden


  1. Windows 10 - Trojanier gefunden mit Avira Antivirus Pro
    Log-Analyse und Auswertung - 16.09.2015 (3)
  2. Windows 7: Avira Antivirus meldet Virus oder unerwünschtes Programm 'EXP/SWF.ExKit.aer.1' gefunden
    Log-Analyse und Auswertung - 26.08.2014 (5)
  3. Win7: Schadsoftware mit Avira gefunden - Spy.ZBot und weiteres
    Log-Analyse und Auswertung - 12.08.2013 (11)
  4. TR/Spy.ZBot.akt von Avira gefunden
    Log-Analyse und Auswertung - 14.07.2013 (11)
  5. TR/Spy.ZBot.akt durch Avira gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.06.2013 (7)
  6. Avira Free Antivirus hat TR/Agent.57344.206 gefunden - Trojanische Pferd
    Log-Analyse und Auswertung - 23.06.2013 (15)
  7. TR/Spy.ZBot.mhlv.2 bei AVIRA gefunden
    Log-Analyse und Auswertung - 20.06.2013 (19)
  8. TR/Spy.ZBot.lntt.12 und EXP/CVE-2013-2423.J von Avira gefunden
    Log-Analyse und Auswertung - 10.06.2013 (4)
  9. Avira Free Antivirus hat yontoo.gen gefunden und in Quarantäne geschoben
    Plagegeister aller Art und deren Bekämpfung - 28.04.2013 (2)
  10. (JAVA/Lamar.FI) & (TR/Spy.ZBOT.caw) & (TR/Kazy.160053.1) mit AVIRA gefunden
    Log-Analyse und Auswertung - 05.04.2013 (33)
  11. Win7 (64Bit) und Avira Free Antivirus, welches TR/Atraps.gen gefunden hat
    Log-Analyse und Auswertung - 10.02.2013 (2)
  12. TR/Crypt.EPACK.Gen2 bei AVIRA gefunden, aber MALWAREBYTES fand andere Schädlinge
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (2)
  13. JAVA/Dldr.Lamar.OJ durch Avira Antivirus gefunden
    Log-Analyse und Auswertung - 19.12.2012 (11)
  14. TR Spy.Zbot.eshb.1 und EXP/ CVE 2012-0507 von Avira gefunden
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (5)
  15. Avira Free Antivirus - Versteckte Objekte gefunden! - Rescue CD - Verlangsamtes System
    Antiviren-, Firewall- und andere Schutzprogramme - 07.05.2012 (0)
  16. BDS/Sinowal.knfal von Avira Antivirus Premium 2012 gefunden
    Log-Analyse und Auswertung - 30.12.2011 (9)
  17. Avira meldet Malware gefunden (TR/Spy.ZBot.29.8)
    Plagegeister aller Art und deren Bekämpfung - 26.12.2010 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden - Hallo liebe Trojaner-Board Community! Nachdem ich in den letzten Tagen häufig das Avira Antivir Warnsignal zu hören bekommen habe, habe ich eine vollständige Systemprüfung (mit Avira Free Antivirus) gestartet, mit - TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden...
Archiv
Du betrachtest: TR/Spy.ZBot.mvxj (und andere) von Avira Antivirus gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131