Schadsoftware durch VLC-Player-Download

cookie52

Hallo Zusammen!

Nun habe ich eure "Goldenen Regeln" und die "Anleitungen" gelesen.

1. Am Sonntag erwischte ich durch den Download bei vlc.de Schadsoftware.
2. Es wurde eine Desktopverknüpfung mit Startseite.de angelegt. Die Suchmaschinen-Auswahl von Firefox (Ver. 26.0 mit install. Addons Adblock-Plus und NoScript) wurde manipuliert, sodass ich 1x auf ein falsches Ergebnis geleitet wurde.
3. Es öffnete sich 1x selbstständig ein Fenster mit unterschiedlicher Werbung.
4. Ich habe den installierten VLC und die Desktop-Verknüpfung (noch) nicht entfernt

Gestern hatte ich zunächst vor, das System neu aufzusetzen. Bin nun unsicher, ob der Schaden wirklich so groß ist.

Maßnahmen:

1. Gestern: "Alle Festplatten" Scan durch Avira-free-Antivirus. Fund: GAME/Zylom.Gen5

2. Gestern: Quick-Scan durch Malwarebytes. Kein Fund.

3. Heute: Antwort von Avira-Forum: GAME/Zylom.Gen5 = ist nur ne Warnung für Admins.

Frage: Wie prüfe ich mein System und wie werde ich das unerwünschte wieder los?

Bei Bedarf:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 6. Januar 2014 22:47


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : xxxxxxxxxxxxxxxxxxxx
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : xxxxxxxxx
Computername : xxxxxxxxx

Versionsinformationen:
BUILD.DAT : 14.0.2.286 Bytes 09.12.2013 11:37:00
AVSCAN.EXE : 14.0.2.254 1032760 Bytes 09.12.2013 10:37:19
AVSCANRC.DLL : 14.0.2.180 62008 Bytes 09.12.2013 10:37:19
LUKE.DLL : 14.0.2.234 65592 Bytes 09.12.2013 10:37:20
AVSCPLR.DLL : 14.0.2.254 124472 Bytes 09.12.2013 10:37:19
AVREG.DLL : 14.0.2.212 250424 Bytes 09.12.2013 10:37:19
avlode.dll : 14.0.2.254 540216 Bytes 09.12.2013 10:37:19
avlode.rdf : 13.0.1.62 56973 Bytes 09.12.2013 10:37:19
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 10:37:22
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 10:37:22
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28.05.2013 10:37:22
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21.06.2013 10:37:22
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23.07.2013 10:37:22
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29.08.2013 10:37:22
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24.09.2013 10:37:22
VBASE007.VDF : 7.11.116.38 5485568 Bytes 28.11.2013 10:37:22
VBASE008.VDF : 7.11.120.140 1154560 Bytes 19.12.2013 23:57:06
VBASE009.VDF : 7.11.120.141 2048 Bytes 19.12.2013 23:57:06
VBASE010.VDF : 7.11.120.142 2048 Bytes 19.12.2013 23:57:07
VBASE011.VDF : 7.11.120.143 2048 Bytes 19.12.2013 23:57:07
VBASE012.VDF : 7.11.120.144 2048 Bytes 19.12.2013 23:57:07
VBASE013.VDF : 7.11.120.145 2048 Bytes 19.12.2013 23:57:07
VBASE014.VDF : 7.11.121.19 126976 Bytes 21.12.2013 23:57:07
VBASE015.VDF : 7.11.121.147 122880 Bytes 24.12.2013 23:57:07
VBASE016.VDF : 7.11.121.233 115712 Bytes 25.12.2013 23:57:07
VBASE017.VDF : 7.11.122.57 325120 Bytes 27.12.2013 23:57:08
VBASE018.VDF : 7.11.122.123 199680 Bytes 28.12.2013 23:57:08
VBASE019.VDF : 7.11.122.219 368640 Bytes 01.01.2014 23:57:09
VBASE020.VDF : 7.11.123.39 182272 Bytes 03.01.2014 23:57:09
VBASE021.VDF : 7.11.123.141 124416 Bytes 05.01.2014 11:02:14
VBASE022.VDF : 7.11.123.142 2048 Bytes 05.01.2014 11:02:14
VBASE023.VDF : 7.11.123.143 2048 Bytes 05.01.2014 11:02:15
VBASE024.VDF : 7.11.123.144 2048 Bytes 05.01.2014 11:02:15
VBASE025.VDF : 7.11.123.145 2048 Bytes 05.01.2014 11:02:15
VBASE026.VDF : 7.11.123.146 2048 Bytes 05.01.2014 11:02:15
VBASE027.VDF : 7.11.123.147 2048 Bytes 05.01.2014 11:02:15
VBASE028.VDF : 7.11.123.148 2048 Bytes 05.01.2014 11:02:15
VBASE029.VDF : 7.11.123.149 2048 Bytes 05.01.2014 11:02:15
VBASE030.VDF : 7.11.123.150 2048 Bytes 05.01.2014 11:02:15
VBASE031.VDF : 7.11.123.202 165376 Bytes 06.01.2014 18:57:17
Engineversion : 8.2.12.166
AEVDF.DLL : 8.1.3.4 102774 Bytes 09.12.2013 10:37:18
AESCRIPT.DLL : 8.1.4.176 520574 Bytes 04.01.2014 23:57:15
AESCN.DLL : 8.1.10.6 131447 Bytes 04.01.2014 23:57:15
AESBX.DLL : 8.2.16.26 1245560 Bytes 09.12.2013 10:37:18
AERDL.DLL : 8.2.0.138 704888 Bytes 09.12.2013 10:37:18
AEPACK.DLL : 8.3.3.8 762232 Bytes 04.01.2014 23:57:15
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 09.12.2013 10:37:18
AEHEUR.DLL : 8.1.4.830 6386042 Bytes 04.01.2014 23:57:14
AEHELP.DLL : 8.1.27.10 266618 Bytes 09.12.2013 10:37:18
AEGEN.DLL : 8.1.7.20 446839 Bytes 09.12.2013 10:37:18
AEEXP.DLL : 8.4.1.138 418168 Bytes 04.01.2014 23:57:16
AEEMU.DLL : 8.1.3.2 393587 Bytes 09.12.2013 10:37:18
AECORE.DLL : 8.1.33.0 225657 Bytes 04.01.2014 23:57:11
AEBB.DLL : 8.1.1.4 53619 Bytes 09.12.2013 10:37:18
AVWINLL.DLL : 14.0.2.180 23608 Bytes 09.12.2013 10:37:19
AVPREF.DLL : 14.0.2.180 48696 Bytes 09.12.2013 10:37:19
AVREP.DLL : 14.0.2.180 175672 Bytes 09.12.2013 10:37:19
AVARKT.DLL : 14.0.2.254 256056 Bytes 09.12.2013 10:37:18
AVEVTLOG.DLL : 14.0.2.180 165944 Bytes 09.12.2013 10:37:18
SQLITE3.DLL : 3.7.0.1 394808 Bytes 09.12.2013 10:37:21
AVSMTP.DLL : 14.0.2.180 60472 Bytes 09.12.2013 10:37:19
NETNT.DLL : 14.0.2.180 13368 Bytes 09.12.2013 10:37:20
RCIMAGE.DLL : 14.0.2.180 4786744 Bytes 09.12.2013 10:37:21
RCTEXT.DLL : 14.0.2.270 73272 Bytes 09.12.2013 10:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 6. Januar 2014 22:47

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:, D'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'brccMCtl.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBNotifier.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkNGUI.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '180' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '69' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\drivers\beep.sys'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Signiert -> 'C:\Windows\system32\imm32.dll'
Signiert -> 'C:\Windows\system32\dsound.dll'
Signiert -> 'C:\Windows\system32\aclui.dll'
Signiert -> 'C:\Windows\system32\msvcrt.dll'
Signiert -> 'C:\Windows\system32\d3d9.dll'
Signiert -> 'C:\Windows\system32\dnsapi.dll'
Signiert -> 'C:\Windows\system32\mshtml.dll'
Signiert -> 'C:\Windows\system32\regsvr32.exe'
Signiert -> 'C:\Windows\system32\rundll32.exe'
Signiert -> 'C:\Windows\system32\userinit.exe'
Signiert -> 'C:\Windows\system32\reg.exe'
Signiert -> 'C:\Windows\system32\ntvdm.exe'
Signiert -> 'C:\Windows\regedit.exe'
Die Systemdateien wurden durchsucht ('35' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1657' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
[0] Archivtyp: Runtime Packed
--> C:\Users\Martin\Downloads\jxpiinstall.exe
[1] Archivtyp: Runtime Packed
--> C:\Users\Martin\Downloads\jxpiinstall.exe
[2] Archivtyp: Runtime Packed
--> C:\Users\Martin\Saved Games\Monopoly 2008 German\monopolydownload.exe
[3] Archivtyp: ZIP SFX (self extracting)
--> Monopoly Deluxe/monopoly.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Zylom.Gen5
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Martin\Saved Games\Monopoly 2008 German\monopolydownload.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Zylom.Gen5
Beginne mit der Suche in 'D:\' <Volume>

Beginne mit der Desinfektion:
C:\Users\Martin\Saved Games\Monopoly 2008 German\monopolydownload.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Zylom.Gen5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5eed83c4.qua' verschoben!


Ende des Suchlaufs: Montag, 6. Januar 2014 23:33
Benötigte Zeit: 44:52 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

24908 Verzeichnisse wurden überprüft
465495 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
465493 Dateien ohne Befall
5180 Archive wurden durchsucht
1 Warnungen
1 Hinweise
156388 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden