Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Avira durch Gruppenrichtlinie blockiert

Avira durch Gruppenrichtlinie blockiert


Log-Analyse und Auswertung: Avira durch Gruppenrichtlinie blockiert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 19.06.2014, 18:00   #1
Kambyses
 
Avira durch Gruppenrichtlinie blockiert - Standard

Avira durch Gruppenrichtlinie blockiert


Moin!

Ein Problem, das so ähnlich wohl schon andere hatten... Ich nutze Avira auf Win 7 Pro x64 mit SP1. Vor zwei oder drei Tagen meldete Avira einen Fund, der wurde in Quarantäne getan. Gestern erschien nach dem Hochfahren folgende Meldung:
Zitat:
RegSvr32
Fehler beim Laden des Moduls „“.
Stellen Sie sicher, dass die Binärdatei am angegebenen Pfad gespeichert ist, oder debuggen Sie die Date, um Probleme mit der binären Datei oder abhängigen DLL-Dateien auszuschließen.
Das angegebene Modul wurde nicht gefunden.
Nach OK-Klick habe ich versucht, Avira zu starten. Daraufhin erschien die Meldung:
Zitat:
Dieses Programm wurde durch eine Gruppenrichtlinie blockiert. Weitere Informationen erhalten Sie vom Systemadministrator.
Im Taskmanager lief zwar der Prozess avguard.exe *32, ließ sich aber nicht beenden.

Nach etwas Googeln hab ich die in der Anleitung hier beschriebenen Logs erstellen lassen, ging problemlos. Dann kam ich noch auf die Idee, Avira mal im abgesicherten Modus auszuprobieren. Da funktionierte es; ein Komplettscan lieferte 9 Funde, davon zwei, die tatsächlich einen relevanten Eindruck machten. Die beiden gelöscht, die anderen in Quarantäne verschoben. Rechner im Normalmodus neu gestartet, Avira sprang von selbst an, erneuter Scan lief durch ohne Funde. Aber heute, beim nächsten Start, wieder die gleichen Probleme: Erneut o.g. Meldungen; Avira ließ sich weder starten noch beenden. Vielleicht kann mir hier jemand helfen?

Die Logs:
Avira (um Versionsinfos gekürzt; drei Dateinamen musste ich wg. Privatsphäre gegen "AAA" austauschen):
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 18. Juni 2014  22:07


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Antivirus Free
Seriennummer   : 0000149996-AVHOE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Abgesicherter Modus
Benutzername   : Administrator
Computername   : ADMIN-PC

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 18. Juni 2014  22:07

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:, D:)'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '111' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\ProgramData\UkxiTtif.dat
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.72184

Die Registry wurde durchsucht ( '6724' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\$Recycle.Bin\S-1-5-21-631546061-2867350119-4234906749-500\$RXQ9G7Y.part
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Clack.rba
C:\ProgramData\UkxiTtif.dat
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.72184
C:\Users\Administrator\AppData\Local\Temp\olrJRCw+.exe.part
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
C:\Users\Administrator\AppData\Local\Temp\setup.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen2
C:\Users\Administrator\AppData\Local\Temp\VqR1vbs1.exe.part
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
C:\Users\Administrator\AppData\Local\Temp\Download_6C9B\AAA_rapidshare_Downloader.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
C:\Users\Administrator\AppData\Local\Temp\Download_744\AAA_rapidshare_Downloader.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
C:\Users\Administrator\AppData\Local\Temp\Download_BE34\AAA_rapidshare_Downloader.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Users\Administrator\AppData\Local\Temp\Download_BE34\AAA_rapidshare_Downloader.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
  [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Administrator\AppData\Local\Temp\Download_744\AAA_rapidshare_Downloader.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
  [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Administrator\AppData\Local\Temp\Download_6C9B\AAA_rapidshare_Downloader.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5095a120.qua' verschoben!
C:\Users\Administrator\AppData\Local\Temp\VqR1vbs1.exe.part
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ffd8e85.qua' verschoben!
C:\Users\Administrator\AppData\Local\Temp\setup.exe
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1a40d461.qua' verschoben!
C:\Users\Administrator\AppData\Local\Temp\olrJRCw+.exe.part
  [FUND]      Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7c759baa.qua' verschoben!
C:\$Recycle.Bin\S-1-5-21-631546061-2867350119-4234906749-500\$RXQ9G7Y.part
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Clack.rba
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3e1fb6b2.qua' verschoben!
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-631546061-2867350119-4234906749-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UkxiTtif> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-631546061-2867350119-4234906749-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UkxiTtif> wurde erfolgreich repariert.
C:\ProgramData\UkxiTtif.dat
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.72184
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46e484fa.qua' verschoben!
  [HINWEIS]   Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UkxiTtif> wurde erfolgreich repariert.
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-631546061-2867350119-4234906749-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UkxiTtif> wurde erfolgreich repariert.


Ende des Suchlaufs: Mittwoch, 18. Juni 2014  23:12
Benötigte Zeit:  1:03:30 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  27184 Verzeichnisse wurden überprüft
 908787 Dateien wurden geprüft
      9 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      6 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 908778 Dateien ohne Befall
  31374 Archive wurden durchsucht
      0 Warnungen
      8 Hinweise
Defogger:
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:18 on 18/06/2014 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
FRST:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 18-06-2014
Ran by Administrator (administrator) on ADMIN-PC on 18-06-2014 21:22:45
Running from C:\Installationsdateien
Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11
Boot Mode: Normal

The only official download link for FRST:
Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ 
Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ 
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(AMD) C:\Windows\System32\atiesrxx.exe
(AMD) C:\Windows\System32\atieclxx.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
(Advanced Micro Devices, Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
(pdfforge GmbH) C:\Program Files (x86)\PDF Architect\HelperService.exe
(pdfforge GmbH) C:\Program Files (x86)\PDF Architect\ConversionService.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe
(Oracle Corporation) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Microsoft Corporation) C:\Windows\SysWOW64\regsvr32.exe
(Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
(Microsoft Corporation) C:\Windows\System32\taskmgr.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [7284328 2011-08-30] (Realtek Semiconductor)
HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [737872 2014-06-04] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [642728 2012-09-28] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Avira <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira <====== ATTENTION
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
HKU\S-1-5-21-631546061-2867350119-4234906749-500\...\Run: [UkxiTtif] => regsvr32.exe "C:\ProgramData\UkxiTtif.dat"
BootExecute: autocheck autochk /k:N * 

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=82013038_51_hao_pg
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xA9A3A54EF1ECCD01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
BHO-x32: PDF Architect Helper - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll (pdfforge GmbH)
BHO-x32: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
Toolbar: HKLM-x32 - Show Xmlbar Toolbar - {6B896ADB-4A82-46e2-858C-13134782CE34} - C:\Program Files (x86)\Xmlbar\56 Downloader\IEBar\xbietb.dll (Xmlbar.com)
Toolbar: HKLM-x32 - PDF Architect Toolbar - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Program Files (x86)\PDF Architect\PDFIEPlugin.dll (pdfforge GmbH)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 192.168.1.1

FireFox:
========
FF ProfilePath: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default
FF DefaultSearchEngine: google.de PWS
FF SelectedSearchEngine: google.de PWS
FF NetworkProxy: "autoconfig_url", "data:text/javascript,function%20FindProxyForURL(url%2C%20host)%20%7Bif%20(shExpMatch(url%2C%20'http%3A%2F%2Fwww.iheart.com*')%20%7C%7C%20host%20%3D%3D%20'www.pandora.com'%20%7C%7C%20url.indexOf('southparkstudios.com')%20!%3D%20-1%20%7C%7C%20url.indexOf('play.google.com')%20!%3D%20-1%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fgrooveshark.com*')%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fretro.grooveshark.com*')%20%7C%7C%20url.indexOf('vevo.com')%20!%3D%20-1%20%7C%7C%20url.indexOf('discoverymedia.com')%20!%3D%20-1%20%7C%7C%20(url.indexOf('turntable.fm')%20!%3D%20-1%20%26%26%20url.indexOf('static.turntable.fm')%20%3D%3D%20-1)%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fwww.mtv.com*')%20%7C%7C%20shExpMatch(url%2C%20'http%3A%2F%2Fmedia.mtvnservices.com*')%20%7C%7C%20(url.indexOf('proxmate%3Dactive')%20!%3D%20-1%20%26%26%20url.indexOf('amazonaws.com')%20%3D%3D%20-1)%20%7C%7C%20(url.indexOf('proxmate%3Dus')%20!%3D%20-1))%20%7B%20return%20'PROXY%20ab-us03.personalitycores.com%3A8000%3B%20PROXY%20ab-us06.personalitycores.com%3A8000%3B%20PROXY%20ab-us04.personalitycores.com%3A8000%3B%20PROXY%20ab-us02.personalitycores.com%3A8000%3B%20PROXY%20ab-us07.personalitycores.com%3A8000%3B%20PROXY%20ab-us08.personalitycores.com%3A8000%3B%20PROXY%20ab-us01.personalitycores.com%3A8000'%3B%7D%20else%20%7B%20return%20'DIRECT'%3B%20%7D%7D"
FF NetworkProxy: "type", 2
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_13_0_0_214.dll ()
FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_13_0_0_214.dll ()
FF Plugin-x32: @adobe.com/ShockwavePlayer - C:\Windows\SysWOW64\Adobe\Director\np32dsw_1203133.dll (Adobe Systems, Inc.)
FF Plugin-x32: @checkpoint.com/FFApi - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll No File
FF Plugin-x32: @java.com/DTPlugin,version=10.55.2 - C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.55.2 - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin-x32: @messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6 - C:\Program Files (x86)\Yahoo!\Shared\npYState.dll (Yahoo! Inc.)
FF Plugin-x32: @real.com/nppl3260;version=6.0.11.2852 - C:\Program Files (x86)\Real Alternative\browser\plugins\nppl3260.dll (RealNetworks, Inc.)
FF Plugin-x32: @real.com/nppl3260;version=6.0.12.46 - C:\Program Files (x86)\Real Alternative\browser\plugins\nppl3260.dll (RealNetworks, Inc.)
FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.1662 - C:\Program Files (x86)\Real Alternative\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)
FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.46 - C:\Program Files (x86)\Real Alternative\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)
FF Plugin-x32: Adobe Reader - C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF user.js: detected! => C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\user.js
FF SearchPlugin: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\searchplugins\google-maps.xml
FF SearchPlugin: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\searchplugins\googlede-pws.xml
FF SearchPlugin: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\searchplugins\wikipedia-eng.xml
FF SearchPlugin: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\searchplugins\wiktionary-de-1.xml
FF SearchPlugin: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\searchplugins\wiktionary-de-2.xml
FF SearchPlugin: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\searchplugins\wiktionary-de.xml
FF SearchPlugin: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\searchplugins\youtube-videosuche.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: ProxTube - Unblock YouTube - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\Extensions\ich@maltegoetz.de [2013-12-11]
FF Extension: DownloadHelper - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2014-03-24]
FF Extension: ProxMate - unblock the Internet! - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\Extensions\jid1-QpHD8URtZWJC2A@jetpack.xpi [2013-02-19]
FF Extension: YouTube Unblocker - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\Extensions\youtubeunblocker@unblocker.yt.xpi [2012-10-13]
FF Extension: RefControl - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\Extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}.xpi [2012-10-13]
FF Extension: Leo Search - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\Extensions\{c666c018-6409-4479-afa3-68e4129e7eff}.xpi [2012-10-13]
FF Extension: Adblock Plus - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\ibc8na4m.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2012-10-13]
FF HKLM-x32\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker

==================== Services (Whitelisted) =================

S3 Adobe LM Service; C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe [72704 2013-03-05] (Adobe Systems) [File not signed]
R2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [361984 2012-09-28] (Advanced Micro Devices, Inc.) [File not signed]
R2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [430160 2014-06-04] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [430160 2014-06-04] (Avira Operations GmbH & Co. KG)
R2 PDF Architect Helper Service; C:\Program Files (x86)\PDF Architect\HelperService.exe [1320496 2013-04-08] (pdfforge GmbH)
R2 PDF Architect Service; C:\Program Files (x86)\PDF Architect\ConversionService.exe [799280 2013-04-08] (pdfforge GmbH)

==================== Drivers (Whitelisted) ====================

R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [112080 2014-06-04] (Avira Operations GmbH & Co. KG)
R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [130584 2014-06-04] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-11-25] (Avira Operations GmbH & Co. KG)
S3 BCBUST; \??\C:\Users\ADMINI~1\AppData\Local\Temp\~BCTraveller.TMP\drivers\DriversXP_amd64\BCBUST.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 NPF; system32\drivers\NPF.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-06-18 21:22 - 2014-06-18 21:22 - 00000000 ____D () C:\FRST
2014-06-18 21:18 - 2014-06-18 21:18 - 00000000 _____ () C:\Users\Administrator\defogger_reenable
2014-06-16 21:25 - 2014-06-16 21:25 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Recuva
2014-06-16 21:25 - 2014-06-16 21:25 - 00000000 ____D () C:\Program Files\Recuva
2014-06-11 18:41 - 2014-06-11 22:15 - 00000000 ____D () C:\Program Files (x86)\Mozilla Thunderbird
2014-06-10 20:17 - 2014-04-25 04:34 - 00801280 _____ (Microsoft Corporation) C:\Windows\system32\usp10.dll
2014-06-10 20:17 - 2014-04-25 04:06 - 00626688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\usp10.dll
2014-06-10 20:17 - 2014-04-05 04:47 - 01903552 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2014-06-10 20:17 - 2014-04-05 04:47 - 00288192 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\FWPKCLNT.SYS
2014-06-10 20:17 - 2014-03-26 16:44 - 02002432 _____ (Microsoft Corporation) C:\Windows\system32\msxml6.dll
2014-06-10 20:17 - 2014-03-26 16:44 - 01882112 _____ (Microsoft Corporation) C:\Windows\system32\msxml3.dll
2014-06-10 20:17 - 2014-03-26 16:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\msxml6r.dll
2014-06-10 20:17 - 2014-03-26 16:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\msxml3r.dll
2014-06-10 20:17 - 2014-03-26 16:27 - 01389056 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml6.dll
2014-06-10 20:17 - 2014-03-26 16:27 - 01237504 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml3.dll
2014-06-10 20:17 - 2014-03-26 16:25 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml6r.dll
2014-06-10 20:17 - 2014-03-26 16:25 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml3r.dll

==================== One Month Modified Files and Folders =======

2014-06-18 21:22 - 2014-06-18 21:22 - 00000000 ____D () C:\FRST
2014-06-18 21:22 - 2012-10-13 18:32 - 00000000 ____D () C:\Installationsdateien
2014-06-18 21:18 - 2014-06-18 21:18 - 00000000 _____ () C:\Users\Administrator\defogger_reenable
2014-06-18 21:18 - 2012-10-13 17:06 - 00000000 ____D () C:\Users\Administrator
2014-06-18 20:54 - 2011-09-27 00:20 - 01091232 _____ () C:\Windows\WindowsUpdate.log
2014-06-18 20:23 - 2009-07-14 06:45 - 00022352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-06-18 20:23 - 2009-07-14 06:45 - 00022352 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-06-18 20:20 - 2011-04-12 09:43 - 00702980 _____ () C:\Windows\system32\perfh007.dat
2014-06-18 20:20 - 2011-04-12 09:43 - 00150620 _____ () C:\Windows\system32\perfc007.dat
2014-06-18 20:20 - 2009-07-14 07:13 - 01629444 _____ () C:\Windows\system32\PerfStringBackup.INI
2014-06-18 20:16 - 2009-07-14 07:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-06-18 20:16 - 2009-07-14 06:51 - 00096176 _____ () C:\Windows\setupact.log
2014-06-18 20:14 - 1980-01-01 00:00 - 00246168 _____ (Microsoft Corporation) C:\ProgramData\UkxiTtif.dat
2014-06-16 21:25 - 2014-06-16 21:25 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Recuva
2014-06-16 21:25 - 2014-06-16 21:25 - 00000000 ____D () C:\Program Files\Recuva
2014-06-12 20:31 - 2012-10-26 23:07 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2014-06-11 23:37 - 2012-10-13 19:01 - 00000000 ____D () C:\Users\Administrator\AppData\Roaming\vlc
2014-06-11 22:15 - 2014-06-11 18:41 - 00000000 ____D () C:\Program Files (x86)\Mozilla Thunderbird
2014-06-04 19:23 - 2013-04-02 17:00 - 00130584 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avipbb.sys
2014-06-04 19:23 - 2013-04-02 17:00 - 00112080 _____ (Avira Operations GmbH & Co. KG) C:\Windows\system32\Drivers\avgntflt.sys
2014-05-20 21:38 - 2012-12-06 23:03 - 00000000 ____D () C:\ProgramData\Freemake
2014-05-20 19:25 - 2010-11-21 05:47 - 00248398 _____ () C:\Windows\PFRO.log

Files to move or delete:
====================
C:\ProgramData\UkxiTtif.dat


Some content of TEMP:
====================
C:\Users\Administrator\AppData\Local\Temp\avgnt.exe
C:\Users\Administrator\AppData\Local\Temp\FreemakeVideoConverter_4.1.4.0.exe
C:\Users\Administrator\AppData\Local\Temp\htmlayout.dll
C:\Users\Administrator\AppData\Local\Temp\setup.exe
C:\Users\Administrator\AppData\Local\Temp\tmp14CD.exe
C:\Users\Administrator\AppData\Local\Temp\tmp241A.exe
C:\Users\Administrator\AppData\Local\Temp\tmp2F53.exe
C:\Users\Administrator\AppData\Local\Temp\tmp7727.exe
C:\Users\Administrator\AppData\Local\Temp\tmp80CA.exe
C:\Users\Administrator\AppData\Local\Temp\tmp8AAB.exe
C:\Users\Administrator\AppData\Local\Temp\uninst1.exe
C:\Users\Gast\AppData\Local\Temp\avgnt.exe


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed


LastRegBack: 2014-06-10 20:59

==================== End Of Log ============================
GMER:
Code:
ATTFilter
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-06-18 21:42:58
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-7 Hitachi_HDS721050DLE630 rev.MS1OA610 465,76GB
Running: iesvev40.exe; Driver: C:\Users\ADMINI~1\AppData\Local\Temp\pwlorpob.sys


---- User code sections - GMER 2.1 ----

.text   C:\Windows\Explorer.EXE[2172] C:\Windows\system32\kernel32.dll!CreateProcessW                                                 0000000076d30650 10 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Windows\Explorer.EXE[2172] C:\Windows\system32\kernel32.dll!CreateProcessW + 12                                            0000000076d3065c 2 bytes [00, 00]
.text   C:\Windows\Explorer.EXE[2172] C:\Windows\system32\kernel32.dll!CreateProcessA                                                 0000000076daacf0 11 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Windows\Explorer.EXE[2172] C:\Windows\system32\kernel32.dll!CreateProcessA + 12                                            0000000076daacfc 2 bytes [00, 00]
.text   C:\Windows\Explorer.EXE[2172] C:\Windows\system32\ADVAPI32.dll!CreateProcessAsUserW                                           000007fefd28e780 12 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Windows\Explorer.EXE[2172] C:\Windows\system32\ADVAPI32.dll!CreateProcessAsUserA                                           000007fefd2ca6f0 11 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Windows\Explorer.EXE[2172] C:\Windows\system32\ADVAPI32.dll!CreateProcessAsUserA + 12                                      000007fefd2ca6fc 2 bytes [00, 00]
.text   C:\Windows\Explorer.EXE[2172] C:\Windows\system32\CRYPT32.dll!PFXImportCertStore                                              000007fefcf47f08 14 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe[2312] C:\Windows\system32\kernel32.dll!CreateProcessW                        0000000076d30650 10 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe[2312] C:\Windows\system32\kernel32.dll!CreateProcessW + 12                   0000000076d3065c 2 bytes [00, 00]
.text   C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe[2312] C:\Windows\system32\kernel32.dll!CreateProcessA                        0000000076daacf0 11 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe[2312] C:\Windows\system32\kernel32.dll!CreateProcessA + 12                   0000000076daacfc 2 bytes [00, 00]
.text   C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe[2312] C:\Windows\system32\ADVAPI32.dll!CreateProcessAsUserW                  000007fefd28e780 12 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe[2312] C:\Windows\system32\ADVAPI32.dll!CreateProcessAsUserA                  000007fefd2ca6f0 11 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe[2312] C:\Windows\system32\ADVAPI32.dll!CreateProcessAsUserA + 12             000007fefd2ca6fc 2 bytes [00, 00]
.text   C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe[2312] C:\Windows\system32\CRYPT32.dll!PFXImportCertStore                     000007fefcf47f08 14 bytes {JMP QWORD [RIP+0x0]}
.text   C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[2532] C:\Windows\syswow64\kernel32.dll!CreateProcessW        00000000769e103d 5 bytes JMP 000000010045887e
.text   C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[2532] C:\Windows\syswow64\kernel32.dll!CreateProcessA        00000000769e1072 5 bytes JMP 0000000100458927
.text   C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[2532] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserW  0000000074b3c532 5 bytes JMP 00000001004589cc
.text   C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[2532] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserA  0000000074b72642 5 bytes JMP 0000000100458a78
.text   C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe[2532] C:\Windows\syswow64\Crypt32.dll!PFXImportCertStore     00000000752e18b8 5 bytes JMP 000000010045744e
.text   C:\Windows\SysWOW64\regsvr32.exe[2644] C:\Windows\syswow64\kernel32.dll!CreateProcessW                                        00000000769e103d 5 bytes JMP 000000010023887e
.text   C:\Windows\SysWOW64\regsvr32.exe[2644] C:\Windows\syswow64\kernel32.dll!CreateProcessA                                        00000000769e1072 5 bytes JMP 0000000100238927
.text   C:\Windows\SysWOW64\regsvr32.exe[2644] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserW                                  0000000074b3c532 5 bytes JMP 00000001002389cc
.text   C:\Windows\SysWOW64\regsvr32.exe[2644] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserA                                  0000000074b72642 5 bytes JMP 0000000100238a78
.text   C:\Windows\SysWOW64\regsvr32.exe[2644] C:\Windows\syswow64\Crypt32.dll!PFXImportCertStore                                     00000000752e18b8 5 bytes JMP 000000010023744e
.text   C:\Installationsdateien\iesvev40.exe[3588] C:\Windows\syswow64\kernel32.dll!CreateProcessW                                    00000000769e103d 5 bytes JMP 000000010035887e
.text   C:\Installationsdateien\iesvev40.exe[3588] C:\Windows\syswow64\kernel32.dll!CreateProcessA                                    00000000769e1072 5 bytes JMP 0000000100358927
.text   C:\Installationsdateien\iesvev40.exe[3588] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserW                              0000000074b3c532 5 bytes JMP 00000001003589cc
.text   C:\Installationsdateien\iesvev40.exe[3588] C:\Windows\syswow64\ADVAPI32.dll!CreateProcessAsUserA                              0000000074b72642 5 bytes JMP 0000000100358a78
.text   C:\Installationsdateien\iesvev40.exe[3588] C:\Windows\syswow64\Crypt32.dll!PFXImportCertStore                                 00000000752e18b8 5 bytes JMP 000000010035744e

---- Threads - GMER 2.1 ----

Thread  C:\Windows\Explorer.EXE [2172:2664]                                                                                           00000000045b91c0
Thread  C:\Windows\Explorer.EXE [2172:2668]                                                                                           00000000045c0c08
Thread  C:\Windows\SysWOW64\regsvr32.exe [2644:2660]                                                                                  000000000024e3bb
Thread  C:\Windows\SysWOW64\regsvr32.exe [2644:2672]                                                                                  000000000024e282
Thread  C:\Windows\SysWOW64\regsvr32.exe [2644:2676]                                                                                  0000000000241359
Thread  C:\Windows\SysWOW64\regsvr32.exe [2644:2680]                                                                                  0000000000241418

---- EOF - GMER 2.1 ----

 

Themen zu Avira durch Gruppenrichtlinie blockiert
adware/adware.gen, adware/adware.gen2, bds/clack.rba, durch gruppenrichtlinie blockiert, gruppenrichtlinie blockiert, hdd0(c:, pup.funmoods, pup.optional.delta.a, pup.optional.funmoods.a, pup.optional.iminent.a, pup.optional.opencandy, pup.optional.softonic.a, pup.optional.wajam.a, tr/crypt.zpack.72184, win32/bundled.toolbar.ask, win32/bundled.toolbar.ask.d, win32/bundled.toolbar.google.d, win32/downloadadmin.g, win32/downloadsponsor.a, win32/installmonetizer.aq, win32/installshare.a, win32/softonicdownloader.e, win32/softonicdownloader.f, win32/startpage.oph, win32/toolbar.funmoods.d


« Avira Fehlermeldung: Dieses Programm wurde durch Gruppenrichtlinien Blockiert. Ein Trojaner? | Windows 7: Alle Browser öffnen komische Seiten(online-casinos) »


Ähnliche Themen: Avira durch Gruppenrichtlinie blockiert


  1. Avira Antivir wird durch eine Gruppenrichtlinie blockiert
    Plagegeister aller Art und deren Bekämpfung - 06.01.2015 (11)
  2. Avira wird durch eine Gruppenrichtlinie blockiert
    Plagegeister aller Art und deren Bekämpfung - 23.12.2014 (25)
  3. 2x Avira wurde durch eine Gruppenrichtlinie blockiert. Was soll ich tuhen?
    Mülltonne - 27.07.2014 (2)
  4. Avira wurde durch eine Gruppenrichtlinie blockiert. Was soll ich machen?
    Log-Analyse und Auswertung - 27.07.2014 (1)
  5. Avira durch gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 26.07.2014 (17)
  6. Avira - Dieses Programm wurde durch eine Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 05.07.2014 (5)
  7. Vista: Avira wurde durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 15.06.2014 (13)
  8. Avira Virenprogramm durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 11.06.2014 (1)
  9. Windows 7: Avira wurde durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 11.06.2014 (17)
  10. Win7 Pro - SP 1 - 32 Bit - Avira durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 11.06.2014 (14)
  11. Avira wurde durch eine Gruppenrichtlinie blockiert!
    Alles rund um Windows - 05.06.2014 (5)
  12. Win7: Avira wird durch Gruppenrichtlinie blockiert.
    Log-Analyse und Auswertung - 22.05.2014 (9)
  13. Trojanerbefall - Avira Antivirus Free durch Gruppenrichtlinie blockiert!
    Log-Analyse und Auswertung - 15.05.2014 (7)
  14. WIN7: Avira wird durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 13.05.2014 (9)
  15. Avira Start wird durch eine Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 21.04.2014 (9)
  16. Avira wird durch eine Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 03.04.2014 (15)
  17. avira: dieses programm wurde durch eine gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 03.12.2013 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Avira durch Gruppenrichtlinie blockiert - Moin! Ein Problem, das so ähnlich wohl schon andere hatten... Ich nutze Avira auf Win 7 Pro x64 mit SP1. Vor zwei oder drei Tagen meldete Avira einen Fund, der - Avira durch Gruppenrichtlinie blockiert...
Archiv
Du betrachtest: Avira durch Gruppenrichtlinie blockiert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131