| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antimalware DoctorWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.06.2010, 01:32
| #1 |
 |  Antimalware Doctor Grüß euch! Wie so einige andere vor kurzem auch, hab ich mir den Virus Antimalware Doctor eingefangen. Dank eurer Seite bin ich schon einen Schritt weiter, aber wie bei den anderen Postern konnte ich ihn nicht ganz entfernen. Avira Antivir hat um 00:06 geschrien. Daraufhin hab ich ihn Scannen lassen. Logs mit Funden (3 Stück) : Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 01. Juni 2010 00:12 Es wird nach 2174072 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 x64 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : *** Computername : ABASE Versionsinformationen: BUILD.DAT : 10.0.0.567 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:11 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:11 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:15:35 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 10:15:35 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 10:15:35 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 10:15:35 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 10:15:35 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 10:15:36 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 10:15:36 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 10:15:36 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 10:15:36 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:11 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 08:03:14 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 10:19:55 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 17:20:04 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 14:14:13 VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 11:36:57 VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 14:17:26 VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 10:31:12 VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 18:04:21 VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 11:13:58 VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 16:05:07 VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 11:15:31 VBASE026.VDF : 7.10.7.157 145920 Bytes 21.05.2010 10:52:51 VBASE027.VDF : 7.10.7.173 147456 Bytes 25.05.2010 13:56:13 VBASE028.VDF : 7.10.7.189 120320 Bytes 27.05.2010 11:20:09 VBASE029.VDF : 7.10.7.190 2048 Bytes 27.05.2010 11:20:09 VBASE030.VDF : 7.10.7.191 2048 Bytes 27.05.2010 11:20:09 VBASE031.VDF : 7.10.7.196 109568 Bytes 30.05.2010 06:03:25 Engineversion : 8.2.1.242 AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 09:59:27 AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 12.05.2010 16:52:34 AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 16:52:33 AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 09:59:28 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 10:15:54 AEPACK.DLL : 8.2.1.1 426358 Bytes 25.03.2010 22:09:20 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12.05.2010 16:52:32 AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 11:29:35 AEHELP.DLL : 8.1.11.3 242039 Bytes 03.04.2010 11:05:24 AEGEN.DLL : 8.1.3.9 377203 Bytes 12.05.2010 16:52:32 AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 09:59:26 AECORE.DLL : 8.1.15.3 192886 Bytes 12.05.2010 16:52:31 AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 09:59:26 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:11 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:11 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:11 Konfiguration für den aktuellen Suchlauf: Job Name..............................: ShlExt Konfigurationsdatei...................: C:\Users\***\AppData\Local\Temp\a04c9204.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +PFS,+SPR, Beginn des Suchlaufs: Dienstag, 01. Juni 2010 00:12 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\***\AppData' C:\Users\***\AppData\Local\Temp\onacrmwsxe.exe [0] Archivtyp: RAR SFX (self extracting) [FUND] Ist das Trojanische Pferd TR/BHO.OHL --> ezwi1810.exe [1] Archivtyp: NSIS --> ProgramFilesDir/[UnknownDir].dll [FUND] Ist das Trojanische Pferd TR/BHO.OHL --> vowi510.exe [1] Archivtyp: NSIS --> ProgramFilesDir/[TempDir]/[UnknownDir].dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.NEC --> smwi1810.exe [1] Archivtyp: NSIS --> ProgramFilesDir/[UnknownDir].dll [FUND] Ist das Trojanische Pferd TR/BHO.OHL.1 Beginne mit der Desinfektion: C:\Users\***\AppData\Local\Temp\onacrmwsxe.exe [FUND] Ist das Trojanische Pferd TR/BHO.OHL.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b3914d.qua' verschoben! Ende des Suchlaufs: Dienstag, 01. Juni 2010 00:17 Benötigte Zeit: 04:52 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 1556 Verzeichnisse wurden überprüft 16164 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden rep***ert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 16161 Dateien ohne Befall 580 Archive wurden durchsucht 0 Warnungen 1 Hinweise ------------------------------------------------ Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 01. Juni 2010 00:06 Es wird nach 2174072 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 x64 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ABASE Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:11 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:11 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:15:35 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 10:15:35 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 10:15:35 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 10:15:35 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 10:15:35 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 10:15:36 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 10:15:36 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 10:15:36 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 10:15:36 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:11 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 08:03:14 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 10:19:55 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 17:20:04 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 14:14:13 VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 11:36:57 VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 14:17:26 VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 10:31:12 VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 18:04:21 VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 11:13:58 VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 16:05:07 VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 11:15:31 VBASE026.VDF : 7.10.7.157 145920 Bytes 21.05.2010 10:52:51 VBASE027.VDF : 7.10.7.173 147456 Bytes 25.05.2010 13:56:13 VBASE028.VDF : 7.10.7.189 120320 Bytes 27.05.2010 11:20:09 VBASE029.VDF : 7.10.7.190 2048 Bytes 27.05.2010 11:20:09 VBASE030.VDF : 7.10.7.191 2048 Bytes 27.05.2010 11:20:09 VBASE031.VDF : 7.10.7.196 109568 Bytes 30.05.2010 06:03:25 Engineversion : 8.2.1.242 AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 09:59:27 AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 12.05.2010 16:52:34 AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 16:52:33 AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 09:59:28 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 10:15:54 AEPACK.DLL : 8.2.1.1 426358 Bytes 25.03.2010 22:09:20 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12.05.2010 16:52:32 AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 11:29:35 AEHELP.DLL : 8.1.11.3 242039 Bytes 03.04.2010 11:05:24 AEGEN.DLL : 8.1.3.9 377203 Bytes 12.05.2010 16:52:32 AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 09:59:26 AECORE.DLL : 8.1.15.3 192886 Bytes 12.05.2010 16:52:31 AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 09:59:26 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:11 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:11 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:11 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4c2e6f29\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: rep***eren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PFS,+SPR, Beginn des Suchlaufs: Dienstag, 01. Juni 2010 00:06 Die Reparatur von Rootkits ist nur im interaktiven Modus möglich! Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ATI_MainBoard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'onacrmwsxe.exe' - '1' Modul(e) wurden durchsucht Modul ist infiziert -> <C:\Users\***\AppData\Local\Temp\onacrmwsxe.exe> Durchsuche Prozess 'Ilm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ill.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WerFault.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ccl9ke.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'gotnewupdate000.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mshta.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTXFISPI.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ctxfihlp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VolPanlu.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TurboV_EVO.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PCSuite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TurboVHELP.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AsSysCtrlService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTAudSvc.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\***\AppData\Local\Temp\khvcol.exe' C:\Users\***\AppData\Local\Temp\khvcol.exe [FUND] Ist das Trojanische Pferd TR/Spy.Gen --> Object [FUND] Ist das Trojanische Pferd TR/Spy.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48979205.qua' verschoben! Beginne mit der Suche in 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9VQTVX5G\fwevpovto[1].htm' C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9VQTVX5G\fwevpovto[1].htm [FUND] Ist das Trojanische Pferd TR/Spy.Gen --> Object [FUND] Ist das Trojanische Pferd TR/Spy.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5013bdd1.qua' verschoben! Beginne mit der Suche in 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D6IC5ITE\fwelcx[1].htm' C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D6IC5ITE\fwelcx[1].htm [FUND] Enthält verdächtigen Code: HEUR/Crypted.E --> Object [FUND] Enthält verdächtigen Code: HEUR/Crypted.E [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '024ce739.qua' verschoben! Beginne mit der Suche in 'C:\Users\***\AppData\Local\Temp\BN1AE2.tmp' Der zu durchsuchende Pfad C:\Users\***\AppData\Local\Temp\BN1AE2.tmp konnte nicht geöffnet werden! Systemfehler [2]: Das System kann die angegebene Datei nicht finden. Beginne mit der Suche in 'C:\Users\***\AppData\Local\Temp\janfw.exe' C:\Users\***\AppData\Local\Temp\janfw.exe [FUND] Enthält Code des Windows-Virus W32/Virut.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6460a881.qua' verschoben! Beginne mit der Suche in 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VN6D0Y7C\gnemtrzxsn[1].htm' C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VN6D0Y7C\gnemtrzxsn[1].htm [FUND] Enthält Code des Windows-Virus W32/Virut.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '21ff85cc.qua' verschoben! Beginne mit der Suche in 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JRFXHRY3\rvqxfn[1].htm' C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JRFXHRY3\rvqxfn[1].htm [FUND] Enthält verdächtigen Code: HEUR/Crypted.E [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ef8b7a5.qua' verschoben! Beginne mit der Suche in 'C:\Users\***\AppData\Local\Temp\roacxnmwse.exe' C:\Users\***\AppData\Local\Temp\roacxnmwse.exe [FUND] Ist das Trojanische Pferd TR/Pincav.aakn [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12509be6.qua' verschoben! Beginne mit der Suche in 'C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9VQTVX5G\wzdcjrp[1].htm' C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9VQTVX5G\wzdcjrp[1].htm [FUND] Enthält verdächtigen Code: HEUR/Crypted.E [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6e45dba3.qua' verschoben! Ende des Suchlaufs: Dienstag, 01. Juni 2010 00:06 Benötigte Zeit: 00:04 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 51 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 3 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden rep***ert 8 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 40 Dateien ohne Befall 5 Archive wurden durchsucht 0 Warnungen 8 Hinweise Die Suchergebnisse werden an den Guard übermittelt. ------------------------- Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 01. Juni 2010 00:05 Es wird nach 2174072 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 x64 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ABASE Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 20.04.2010 15:41:11 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 15:41:11 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:15:35 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 10:15:35 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 10:15:35 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 10:15:35 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 10:15:35 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 10:15:36 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 10:15:36 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 10:15:36 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 10:15:36 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:41:11 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 08:03:14 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 10:19:55 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 17:20:04 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 14:14:13 VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 11:36:57 VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 14:17:26 VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 10:31:12 VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 18:04:21 VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 11:13:58 VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 16:05:07 VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 11:15:31 VBASE026.VDF : 7.10.7.157 145920 Bytes 21.05.2010 10:52:51 VBASE027.VDF : 7.10.7.173 147456 Bytes 25.05.2010 13:56:13 VBASE028.VDF : 7.10.7.189 120320 Bytes 27.05.2010 11:20:09 VBASE029.VDF : 7.10.7.190 2048 Bytes 27.05.2010 11:20:09 VBASE030.VDF : 7.10.7.191 2048 Bytes 27.05.2010 11:20:09 VBASE031.VDF : 7.10.7.196 109568 Bytes 30.05.2010 06:03:25 Engineversion : 8.2.1.242 AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 09:59:27 AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 12.05.2010 16:52:34 AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 16:52:33 AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 09:59:28 AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 10:15:54 AEPACK.DLL : 8.2.1.1 426358 Bytes 25.03.2010 22:09:20 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12.05.2010 16:52:32 AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 11:29:35 AEHELP.DLL : 8.1.11.3 242039 Bytes 03.04.2010 11:05:24 AEGEN.DLL : 8.1.3.9 377203 Bytes 12.05.2010 16:52:32 AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 09:59:26 AECORE.DLL : 8.1.15.3 192886 Bytes 12.05.2010 16:52:31 AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 09:59:26 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 20.04.2010 15:41:11 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 20.04.2010 15:41:11 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 15:41:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 20.04.2010 15:41:11 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4c2e6f29\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: rep***eren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PFS,+SPR, Beginn des Suchlaufs: Dienstag, 01. Juni 2010 00:05 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'net.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BN1AE1.tmp' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BN1AE3.tmp' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'uaufqma.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smnxoawcre.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'gotnewupdate000.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'enscxwaomr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mshta.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTXFISPI.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ctxfihlp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VolPanlu.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TurboV_EVO.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PCSuite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TurboVHELP.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AsSysCtrlService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTAudSvc.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Users\***\AppData\Local\Temp\mwexorcsna.exe' C:\Users\***\AppData\Local\Temp\mwexorcsna.exe [FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49539203.qua' verschoben! Ende des Suchlaufs: Dienstag, 01. Juni 2010 00:05 Benötigte Zeit: 00:03 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 33 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden rep***ert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 32 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. -------------------- Daraufhin auf eurer Seite die Anleitung gefunden Log zum RKill Processes terminated by Rkill or while it was running: C:\Users\Ari\AppData\Local\Temp\Ilm.exe C:\Users\Ari\AppData\Local\Temp\Ill.exe C:\Users\Ari\AppData\Roaming\F8DFE2F9B073ADC1B9B913B46C20900B\gotnewupdate000.exe C:\Users\Ari\AppData\Local\ATI Drivers\ATI_MainBoard.exe C:\Users\Ari\Desktop\iExplorer.exe Rkill completed on 01.06.2010 at 1:14:21. Log zum Malewarebytes Anti-Maleware Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4159 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 01.06.2010 02:02:12 mbam-log-2010-06-01 (02-02-12).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|M:\|) Durchsuchte Objekte: 329956 Laufzeit: 44 Minute(n), 0 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 14 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Users\***\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\aaaaaaaa (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\halo2 (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\***\aaaaaaaa.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\***\AppData\Local\Temp\A779.tmp (Rootkit.Agent) -> Quarantined and deleted successfully. C:\Users\***\AppData\Local\Temp\ccl9ke.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Users\***\AppData\Local\Temp\nsxamcrowe.exe (Rootkit.Dropper) -> Quarantined and deleted successfully. C:\Users\***\AppData\Local\Temp\plmloe9ez.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\***\AppData\Local\Temp\szv86m1ic.exe (Rootkit.Agent) -> Quarantined and deleted successfully. C:\Users\***\AppData\Local\Temp\~TM2B93.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\***\AppData\Local\VirtualStore\Windows\SysWOW64\cooper.mine (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\***\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully. C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully. C:\Users\***\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot. C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\***\AppData\Local\Temp\Ilm.exe (Trojan.FakeAlert) -> Delete on reboot. Nach dem Reboot hat sich das Malwarebytes Antimale-Ware Programm nicht mehr geöffnet (vermutlich durch den Trojaner blockiert), dafür wieder der Antimalware-Doctor. Den hab ich wieder mit RKill geschlossen. Ich hab gerade Angefangen nochmal die Antimaleware drüberlaufen zu lassen, allerdings hat er bis jetzt nichts mehr gefunden. (Wo er beim ersten lauf schon ca 10 infizierte Objekte gefunden hatte). Ich hab nach dem Befall zügig meine Internetverbindung unterbrochen (und meinen Drucker abgedreht der leere Blätter gedruckt hat  ).Wie sieht es mit meinen Daten, Passwörtern und so weiter aus. Ich nehme an die dürften nun in fremden Händen liegen? Weiters wird es eine dauerhafte Beeinträchtigung meines PCs geben (Geschwindigkeit, etc.)? Wie bekomm ich meinen PC vollständig sauber? Zu guter letzt: Welche Programme sind hilfreich um schon im Vorraus eine Ausbreitung von Viren solcher Art zu verhindern? Ist da Zonealarm hilfreich? Bislang hab ich nur Avira Antivirus laufen. CCleaner wird jetzt mal nächster Schritt sein. Grüße Wisdoom Geändert von Wisdoom (01.06.2010 um 01:59 Uhr) |
| Themen zu Antimalware Doctor |
| .dll, 0 bytes, antimaleware, antivir, blockiert, broken.opencommand, datei, desktop, drucker, firefox.exe, free, hilfreich, infiziert, internet, launch, local\temp, malewarebytes anti-maleware, microsoft, modul, namen, nt.dll, programdata, programm, prozesse, rogue.antimalwaredoctor, rootkit.dropper, rundll, rundll32.exe, scan, sched.exe, seite, software, spyware, spyware.onlinegames, start menu, suchlauf, svchost.exe, syswow64, temp, trojan.downloader, trojaner, virus, windows |
Baum-Darstellung