Mein Compi ist infiziert mit:tr/fakeAV.baj.2

VolkerT

Hallo!
Ich habe mir schon die anderen Posts durchgelesen, doch bin ich verunsichert, da dort steht, dass die "Lösung nur für genau diesen User kreirt wurde". Habe aber genau dasselbe Problem wie z.B."der-sibbi"
Habe Antivir drüber laufen lassen und das war das Ergebnis:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 12. Oktober 2008 15:49

Es wird nach 1677110 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: VOLKER

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 20.07.2008 12:21:16
AVSCAN.DLL : 8.1.4.0 48897 Bytes 20.07.2008 12:21:16
LUKE.DLL : 8.1.4.5 164097 Bytes 20.07.2008 12:21:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 20.07.2008 12:21:16
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 06:01:06
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 12:01:29
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08.10.2008 13:00:26
ANTIVIR3.VDF : 7.0.7.28 120320 Bytes 11.10.2008 14:22:13
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 24.04.2008 12:28:32
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 17:18:43
AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 13:22:20
AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 17:18:42
AEPACK.DLL : 8.1.2.3 364918 Bytes 24.09.2008 14:01:37
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 17:18:41
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 17:18:41
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 12:00:21
AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 12:20:23
AEEMU.DLL : 8.1.0.7 430452 Bytes 04.08.2008 15:17:59
AECORE.DLL : 8.1.1.11 172406 Bytes 03.09.2008 16:31:07
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 12:00:20
AVWINLL.DLL : 1.0.0.12 15105 Bytes 20.07.2008 12:21:16
AVPREF.DLL : 8.0.2.0 38657 Bytes 20.07.2008 12:21:16
AVREP.DLL : 8.0.0.2 98344 Bytes 04.08.2008 15:17:58
AVREG.DLL : 8.0.0.1 33537 Bytes 20.07.2008 12:21:16
AVARKT.DLL : 1.0.0.23 307457 Bytes 24.04.2008 12:28:31
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 20.07.2008 12:21:16
SQLITE3.DLL : 3.3.17.1 339968 Bytes 24.04.2008 12:28:32
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 20.07.2008 12:21:16
NETNT.DLL : 8.0.0.1 7937 Bytes 24.04.2008 12:28:32
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 20.07.2008 12:21:10
RCTEXT.DLL : 8.0.52.0 86273 Bytes 20.07.2008 12:21:10

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Sonntag, 12. Oktober 2008 15:49

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QCONSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svqfwdcd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpScrex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brastk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmmessages.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmapMn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKMGR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QCWLICON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wjudmnej.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TRACEBoardSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmapMn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmapMn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TRACEBoardSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '59' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <IBM_PRELOAD>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temp\Binaries1.cab2
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.baj.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49600724.qua' verschoben!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temp\Binaries1.cab3
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.baj.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49600728.qua' verschoben!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temp\Binaries1.cab4
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.baj.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49600729.qua' verschoben!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temp\Binaries1.cab5
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.baj.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4960072a.qua' verschoben!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temp\Binaries2.cab3
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPSecurityCenter.AS
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4960072d.qua' verschoben!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temp\Binaries2.cab4
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPSecurityCenter.AS
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49600730.qua' verschoben!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temp\Binaries2.cab5
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPSecurityCenter.AS
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49600731.qua' verschoben!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temp\Binaries2.cab6
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPSecurityCenter.AS
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49600734.qua' verschoben!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GH31ZC4H\Binaries1[1].cab
[0] Archivtyp: CAB (Microsoft)
--> XP_AntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.baj.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49600742.qua' verschoben!
C:\Dokumente und Einstellungen\Ich selbst\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O7801B3V\Binaries2[1].cab
[0] Archivtyp: CAB (Microsoft)
--> AVEngn.dll
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPSecurityCenter.AS
--> wscui.cpl
[FUND] Ist das Trojanische Pferd TR/FakeAV.bak.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49600747.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 12. Oktober 2008 17:10
Benötigte Zeit: 1:20:16 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

6084 Verzeichnisse wurden überprüft
379983 Dateien wurden geprüft
15 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
379966 Dateien ohne Befall
7812 Archive wurden durchsucht
2 Warnungen
10 Hinweise

Hätte jetzt einfach mal das Combo Programm drüber laufen lassen, aber wie gesagt trau mich nicht so richtig, aufgrund dieser Sätze hier:

"Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden!"

Vielen Dank für Eure Hilfe!
Gruß Volker