Is klar, dass man nicht alles kennen kann:-)

hier die älteren Logs von AntiVir.



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 24. Oktober 2010 18:08

Es wird nach 2959958 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista x64
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : XXX-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 00:59:42
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 01:00:03
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 13:05:14
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 08:59:00
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 08:59:00
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 08:59:00
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 08:59:00
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 08:59:01
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 09:14:56
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 10:09:32
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 10:09:32
VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 11:06:38
VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 17:53:48
VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 17:53:49
VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 17:53:49
VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 09:51:52
VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 08:39:29
VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 09:22:19
VBASE023.VDF : 7.10.12.198 131584 Bytes 13.10.2010 16:41:07
VBASE024.VDF : 7.10.12.216 133120 Bytes 14.10.2010 09:07:36
VBASE025.VDF : 7.10.12.238 137728 Bytes 18.10.2010 09:18:45
VBASE026.VDF : 7.10.12.254 129536 Bytes 20.10.2010 09:31:57
VBASE027.VDF : 7.10.12.255 2048 Bytes 20.10.2010 09:31:57
VBASE028.VDF : 7.10.13.0 2048 Bytes 20.10.2010 09:31:57
VBASE029.VDF : 7.10.13.1 2048 Bytes 20.10.2010 09:31:57
VBASE030.VDF : 7.10.13.2 2048 Bytes 20.10.2010 09:31:57
VBASE031.VDF : 7.10.13.16 102912 Bytes 22.10.2010 10:38:02
Engineversion : 8.2.4.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.08.2010 11:38:04
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 18.09.2010 09:15:06
AESCN.DLL : 8.1.6.1 127347 Bytes 04.06.2010 01:00:30
AESBX.DLL : 8.1.3.1 254324 Bytes 04.06.2010 01:00:35
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 10:09:35
AEPACK.DLL : 8.2.3.11 471416 Bytes 12.10.2010 09:22:26
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 26.07.2010 13:05:26
AEHEUR.DLL : 8.1.2.36 2974072 Bytes 21.10.2010 09:32:01
AEHELP.DLL : 8.1.14.0 246134 Bytes 12.10.2010 09:22:21
AEGEN.DLL : 8.1.3.23 401779 Bytes 03.10.2010 17:53:51
AEEMU.DLL : 8.1.2.0 393588 Bytes 04.06.2010 01:00:13
AECORE.DLL : 8.1.17.0 196982 Bytes 25.09.2010 11:06:40
AEBB.DLL : 8.1.1.0 53618 Bytes 04.06.2010 01:00:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4da14bfd\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Sonntag, 24. Oktober 2010 18:08

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TableScan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PokerStars.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HMHud.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HMImport.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HoldemManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg_ctl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrS64H.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'flux.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\XXX\AppData\Local\Mozilla\Firefox\Profiles\jcwd05qk.default\Cache\FF0AF798d01'
C:\Users\XXX\AppData\Local\Mozilla\Firefox\Profiles\jcwd05qk.default\Cache\FF0AF798d01
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/AdSpy.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f5fbb2.qua' verschoben!


Ende des Suchlaufs: Sonntag, 24. Oktober 2010 18:09
Benötigte Zeit: 00:53 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
31 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
30 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 5. November 2010 11:32

Es wird nach 3012434 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista x64
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : XXX-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 11:40:47
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 00:59:42
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 01:00:03
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 13:05:14
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 08:59:00
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 11:40:47
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 11:40:47
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 11:40:47
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 11:40:47
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 11:40:47
VBASE014.VDF : 7.10.13.117 2048 Bytes 04.11.2010 11:40:47
VBASE015.VDF : 7.10.13.118 2048 Bytes 04.11.2010 11:40:47
VBASE016.VDF : 7.10.13.119 2048 Bytes 04.11.2010 11:40:47
VBASE017.VDF : 7.10.13.120 2048 Bytes 04.11.2010 11:40:47
VBASE018.VDF : 7.10.13.121 2048 Bytes 04.11.2010 11:40:47
VBASE019.VDF : 7.10.13.122 2048 Bytes 04.11.2010 11:40:47
VBASE020.VDF : 7.10.13.123 2048 Bytes 04.11.2010 11:40:47
VBASE021.VDF : 7.10.13.124 2048 Bytes 04.11.2010 11:40:47
VBASE022.VDF : 7.10.13.125 2048 Bytes 04.11.2010 11:40:47
VBASE023.VDF : 7.10.13.126 2048 Bytes 04.11.2010 11:40:47
VBASE024.VDF : 7.10.13.127 2048 Bytes 04.11.2010 11:40:47
VBASE025.VDF : 7.10.13.128 2048 Bytes 04.11.2010 11:40:47
VBASE026.VDF : 7.10.13.129 2048 Bytes 04.11.2010 11:40:47
VBASE027.VDF : 7.10.13.130 2048 Bytes 04.11.2010 11:40:47
VBASE028.VDF : 7.10.13.131 2048 Bytes 04.11.2010 11:40:47
VBASE029.VDF : 7.10.13.132 2048 Bytes 04.11.2010 11:40:47
VBASE030.VDF : 7.10.13.133 2048 Bytes 04.11.2010 11:40:47
VBASE031.VDF : 7.10.13.136 7168 Bytes 04.11.2010 11:40:47
Engineversion : 8.2.4.92
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.08.2010 11:38:04
AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 11:40:47
AESCN.DLL : 8.1.6.1 127347 Bytes 04.06.2010 01:00:30
AESBX.DLL : 8.1.3.1 254324 Bytes 04.06.2010 01:00:35
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 10:09:35
AEPACK.DLL : 8.2.3.11 471416 Bytes 12.10.2010 09:22:26
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 26.07.2010 13:05:26
AEHEUR.DLL : 8.1.2.38 2990455 Bytes 04.11.2010 11:40:47
AEHELP.DLL : 8.1.14.0 246134 Bytes 12.10.2010 09:22:21
AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 11:40:47
AEEMU.DLL : 8.1.2.0 393588 Bytes 04.06.2010 01:00:13
AECORE.DLL : 8.1.17.0 196982 Bytes 25.09.2010 11:06:40
AEBB.DLL : 8.1.1.0 53618 Bytes 04.06.2010 01:00:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 11:40:47
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 11:40:47
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 11:40:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4db39b6b\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Freitag, 5. November 2010 11:32

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HMImport.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HoldemManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg_ctl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrS64H.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'flux.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Windows\SysWOW64\ezShellStart.exe'
C:\Windows\SysWOW64\ezShellStart.exe
[FUND] Ist das Trojanische Pferd TR/Agent.117808
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ed37cee.qua' verschoben!


Ende des Suchlaufs: Freitag, 5. November 2010 11:32
Benötigte Zeit: 00:52 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
27 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
26 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Zitat:

Beginne mit der Suche in 'C:\Windows\SysWOW64\ezShellStart.exe'
C:\Windows\SysWOW64\ezShellStart.exe

Sollte ein Fehlalarm sein. nach dem was ich diesmal (hoffentlich richtig ) rausgefunden habe gehört das zu dem hier:

Zitat:

SRV - (ezSharedSvc) -- C:\Windows\SysWOW64\ezsvc7.dll (EasyBits Sofware AS)

ah okay...

((nur am Rande: manchmal habe ich auch das Gefühl, dass irgendwas zeitweise im Hintergrund läuft. Aber ich weiß nicht ob das nicht völlig normal ist. Dann liegt die CPU-Auslastung so bei 2-3% und es rattert etwas vor sich hin, obwohl ich gar nichts mache...))

C:\ProgramData\!XXXXCORE ist C:\ProgramData\!SASCORE
da hab ich zu eifrig weggexxxxt. Ich weiß allerdings nicht was das ist. Und den Ordner kann ich auch nicht finden. Noch nichtmal den Ordner "ProgrammData". Allerdings sollen sich ja auch die Antivirusprogramme darin befinden. Äh.. Ich glaub ich stell mich etwas dumm an.. naja..


also diese Region des OTL-logs nochmal in original:

[2010.11.18 14:43:24 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com
[2010.11.18 14:42:04 | 000,000,000 | ---D | C] -- C:\ProgramData\!SASCORE
[2010.11.18 14:42:00 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware

ich hoffe ich verwirre nicht.

Hab jetzt ProgrammData gefunden. War einfach versteckt.
Im Ordner Sascore scheinen 3 Log-Dateien zu sein. Vermutlich von SuperAntiSpyware. Enden mit *.*SDB

Ja, das ist von SUPERAntiSpyware und ist ok

ok. wie gehts jetzt weiter?

Hm, du hast mich erwischt!
Muss es noch weitergehen? Die Logs waren ansonsten unauffällig.
Verzeichnest du denn noch Probeme oder weitere Funde in der Zwischenzeit?

Läuft alles gut. Sollte ich wieder eine Virusmeldung haben melde ich mich wieder hier. Super Sache das Forum hier!!!

Gibts sonst abschließend generell noch irgendwelche Programme/Tips, die das System sicherer/schneller zu machen?

Ok, dann wären wir erstmal durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Der Dropper.Gen is wieder da. Evtl. wurde er auch gar nicht richtig entfernt. Ich kann jetzt auch die Datei finden. Diese lässt sich für mich nicht bearbeiten oder öffnen. Ich wollte sie bei virustotal hochladen, aber das geht halt auch nicht :-(

Beginne mit der Suche in 'C:\Users\XXXX\AppData\Roaming\ipxhnf.dll'
C:\Users\XXXX\AppData\Roaming\ipxhnf.dll
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen

Wie kann ich die Datei denn jetzt auf virustotal hochladen, um überprüfen zu lassen, ob das jetzt nen Virus ist? Beim Öffnen meldet der Computer irgendwas mit Admin rechten....

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: (das XXXX muss natürlich wieder von dir in den richtigen Namen veröändert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\Users\XXXX\AppData\Roaming\ipxhnf.dll
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Hi,

alles gemacht wie gesagt. Klappt alles bis zum Neustart. Danach wird nichts angezeigt und nichts gespeichert und nichts öffnet sich. 3mal versucht.

Grüße

Dann so:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL):

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du die XXXX in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:Files
C:\Users\XXXX\AppData\Roaming\ipxhnf.dll
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hier der Bericht:

Die Datei ist weg. Vermutlich wurde diese bereits vom avenger gelöscht. Ich lass jetzt nochmal Antivir laufen und dann mal sehen. Komischer Virus... Ich hab vorher auch Malware und Antspyware direkt auf die Datei angesetzt und die hatten keine Warnung gegeben.

All processes killed
========== FILES ==========
File\Folder C:\Users\XXX\AppData\Roaming\ipxhnf.dll not found.
========== COMMANDS ==========
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: elephant

User: postgres
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Public

User: XXX
->Temp folder emptied: 570457179 bytes
->Temporary Internet Files folder emptied: 7468663 bytes
->FireFox cache emptied: 79562890 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 2887141 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 252143 bytes

Falls die Datei wiederkommt: Ich kann die Datei umbenennen und verschieben, aber nicht öffnen und nirgends hochladen (hab ich vor den Löschversuchen nochmal getestet). Gibts eine Möglichkeit die Datei "hochladbar" zu machen?