TR/ATRAPS.Gen in Datei mfcMobiledlg.dll

tobias_x31 · 02.02.2011, 20:09

Hallo

habe alle Aktionen durchgeführt..

Allerdings konnte ich die Datei "Perflib_Perfdata_2c8.dat" im Ordner
Temp nicht löschen, da sie scheinbar verwendet wird.
(obwohl ich alle Programme geschlossen hatte)

Kann man erkennen wozu die gehört?

[code]
HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:03:42, on 02.02.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Novatel Wireless\MobiLink\iilserver.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\Lenovo\System Update\SUService.exe
C:\Programme\Lenovo\TrackPoint\tp4serv.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\MFP Server\App\Common\MFPAgent.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ServoApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\X31\Desktop\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [TrackPointSrv] C:\Programme\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [GDI Manager] "C:\Programme\MFP Server\App\Common\MFPAgent.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S9E.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE
O4 - Global Startup: NETGEAR ProSafe VPN Client.lnk = C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\X31\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs:    C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo  - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo  - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IPSecMon.exe
O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Programme\NETGEAR\NETGEAR ProSafe VPN Client\IreIKE.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MobiLink IILServer - Novatel Wireless, Inc. - C:\Programme\Novatel Wireless\MobiLink\iilserver.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Programme\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 9095 bytes

--- --- ---

Was mich noch interessieren würde ist, was ich mir da eingefangen habe und was wollte es anrichten??

Und kannst Du schon erkennen, ob es "weg" ist?

Danke und Gruß,
Tobias

kira · 02.02.2011, 22:20

Zitat:

Zitat von tobias_x31

Allerdings konnte ich die Datei "Perflib_Perfdata_2c8.dat" im Ordner
Temp nicht löschen, da sie scheinbar verwendet wird.
(obwohl ich alle Programme geschlossen hatte)

Kann man erkennen wozu die gehört?

In die Temp-Ordner legt Windows permanent seine eigenen temporären Dateien ohnehin ab, also ist das normal

Zitat:

Zitat von tobias_x31

Was mich noch interessieren würde ist, was ich mir da eingefangen habe und was wollte es anrichten??

Die Datei ist (bis jetzt) absolut unbekannt, aber könnte aus die Silent-Banker-Familie stammen

- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

► Läuft dein System stabil? Hast du sonst noch Probleme?

tobias_x31 · 02.02.2011, 22:48

Ok, der Scan läuft grade...

Zitat:

Läuft dein System stabil? Hast du sonst noch Probleme?

Ja, im Moment schon.

Bei den vorigen "Bereinigungsaktionen" mochte er manchmal nicht richtig runterfahren, aber das funktioniert z.Zt. wieder ganz normal.

Allerdings habe ich mich noch nicht getraut ICQ wieder zu starten...
Weil ich den Eindruck hatte, dass es unmittelbar damit zu tun hatte.
Der erste Fund kam exakt in dem Moment beim öffnen einer ICQ-Nachricht.

MIST !! direkt eben beim Schreiben dieser Antwort meldet sich AntiVir mit einem erneutem Fund...

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\X31\Lokale Einstellungen\Anwendungsdaten\rasMaindrv\mfcMobiledlg.VIR'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Der Online-Scan scheint noch eine ganze Weile zu brauchen...

Silent-Banker?
Bringt es Sinn, wenn ich mein PayPal-Konto erst mal sperre?
Klassisches Online-Banking habe ich nicht.
Oder würdest Du noch andere Aktionen empfehlen? (Passwörter tauschen o.ä.?)

Hoffe ich werde das Ding wieder los :-(

Danke und Gruß,
Tobias

tobias_x31 · 02.02.2011, 22:58

Mir ist grad noch was eingefallen...

Vor einer ganzen Zeit (Anfang Januar) hatte ich schon mal ein Problem im Zusammenhang mit ICQ. Und zwar meldete sich AntiVir damals auch schon mal.
Wenn ich mich recht erinnere war das irgendwas mit "web.exe" oder so.
Unmittelbar danach hatte ich immer eine Werbe-Seite von "Handyplanet" oder so. Auch immer direkt im Zusammenhang mit ICQ. Da ich bei Google aber was drüber gefunden hatte und es "nur" für hartnäckige Werbung hielt, habe ich mir keine weiteren Gedanken gemacht.

Habe nun eben noch mal in die älteren Ereignisse von AntiVir geschaut
Und siehe da, am 11.01.11 war schon mal ein Fund:

Zitat:

In der Datei 'C:\Dokumente und Einstellungen\X31\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\dbinv7ug.default\Cache\_CACHE_002_'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen

Könnte da ein Zusammenhang bestehen?

Danke und Gruß,
Tobias

tobias_x31 · 03.02.2011, 07:03

ESET hat nichts gefunden...

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=47c6a810e5fb0343988b60a66ad0149a
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-02-02 11:50:48
# local_time=2011-02-03 12:50:48 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777175 100 0 67473288 67473288 0 0
# compatibility_mode=3073 16777213 80 89 8865209 34591423 0 0
# compatibility_mode=8192 67108863 100 0 3783 3783 0 0
# scanned=58094
# found=0
# cleaned=0
# scan_time=7852

kira · 03.02.2011, 07:42

1.

Zitat:

Zitat von tobias_x31

MIST !! direkt eben beim Schreiben dieser Antwort meldet sich AntiVir mit einem erneutem Fund...

"In der Datei 'C:\Dokumente und Einstellungen\X31\Lokale Einstellungen\Anwendungsdaten\rasMaindrv\mfcMobiledlg.VIR'"

ist schon unschädlich gemacht, leere den Quarantäne-Ordner von Antivir!

ausserdem:
2.
Tipps:
Mozilla Firefox - Cache leeren:
Cache leeren (firefox-browser.de/wiki) - Einstellungen/Firefox
Benutzerprofile
Profilordner/ Firefox-Wiki
Profile verwalten
Neues Profil

3.
Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum
- Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits)
Bemerkung:
"(Klick auf das Bild, um es zu vergrößern!)" - bitte tue nicht, da leider funktioniert nicht mehr!!
Logs speichern/posten

tobias_x31 · 04.02.2011, 07:28

Guten Morgen

hier die log files

Code:

ATTFilter


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 3. Februar 2011  20:35

Es wird nach 2453406 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir Personal - FREE Antivirus
Seriennummer:     0000149996-ADJIE-0000001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     X31
Computername:     IBMX31

Versionsinformationen:
BUILD.DAT     : 8.2.0.354      17048 Bytes  23.10.2009 13:15:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  14.12.2008 00:08:18
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 12:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 13:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 12:40:42
ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:43:16
ANTIVIR1.VDF  : 7.11.0.11   13365104 Bytes  14.12.2010 17:47:24
ANTIVIR2.VDF  : 7.11.2.45    2759072 Bytes  01.02.2011 18:42:40
ANTIVIR3.VDF  : 7.11.2.68     158720 Bytes  03.02.2011 18:56:15
Engineversion : 8.2.4.158 
AEVDF.DLL     : 8.1.2.1       106868 Bytes  22.08.2010 08:00:14
AESCRIPT.DLL  : 8.1.3.53     1282427 Bytes  31.01.2011 16:16:27
AESCN.DLL     : 8.1.7.2       127349 Bytes  22.11.2010 17:08:50
AESBX.DLL     : 8.1.3.2       254324 Bytes  22.11.2010 17:08:47
AERDL.DLL     : 8.1.9.2       635252 Bytes  21.09.2010 18:50:11
AEPACK.DLL    : 8.2.4.9       512374 Bytes  31.01.2011 16:16:26
AEOFFICE.DLL  : 8.1.1.16      205179 Bytes  31.01.2011 16:16:25
AEHEUR.DLL    : 8.1.2.70     3191159 Bytes  31.01.2011 16:16:24
AEHELP.DLL    : 8.1.16.0      246136 Bytes  02.12.2010 18:00:23
AEGEN.DLL     : 8.1.5.2       397683 Bytes  23.01.2011 09:36:09
AEEMU.DLL     : 8.1.3.0       393589 Bytes  22.11.2010 17:08:02
AECORE.DLL    : 8.1.19.2      196983 Bytes  23.01.2011 09:36:08
AEBB.DLL      : 8.1.1.0        53618 Bytes  26.04.2010 18:37:19
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 09:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 10:27:58
AVREP.DLL     : 8.0.0.7       159784 Bytes  16.02.2010 17:19:09
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 12:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 09:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 13:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 18:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 13:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 13:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 14:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:, G:, H:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 3. Februar 2011  20:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SvcGuiHlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'logmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IUService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvtsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvttcsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tvt_reg_monitor_svc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SafeCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iilserver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServoApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cfp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MFPAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpScrex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPONSCR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EZEJMNAP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IPSecMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHKMGR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scheduler_proxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tp4serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADCDLicSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcPrfMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IreIKE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmdagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '59' Prozesse mit '59' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'H:\'
    [INFO]      Im  Laufwerk 'H:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '65' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'
Beginne mit der Suche in 'G:\'
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Donnerstag, 3. Februar 2011  21:09
Benötigte Zeit: 33:58 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6152 Verzeichnisse wurden überprüft
 254508 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 254507 Dateien ohne Befall
   2681 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise

Das zweite File ist über 15MB groß geworden.
Brauchst Du das komplett?
Oder hab ich da ne falsche Option erwischt?

Code:

ATTFilter


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 3. Februar 2011  21:49

Es wird nach 2453406 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir Personal - FREE Antivirus
Seriennummer:     0000149996-ADJIE-0000001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     X31
Computername:     IBMX31

Versionsinformationen:
BUILD.DAT     : 8.2.0.354      17048 Bytes  23.10.2009 13:15:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  14.12.2008 00:08:18
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 12:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 13:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 12:40:42
ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:43:16
ANTIVIR1.VDF  : 7.11.0.11   13365104 Bytes  14.12.2010 17:47:24
ANTIVIR2.VDF  : 7.11.2.45    2759072 Bytes  01.02.2011 18:42:40
ANTIVIR3.VDF  : 7.11.2.68     158720 Bytes  03.02.2011 18:56:15
Engineversion : 8.2.4.158 
AEVDF.DLL     : 8.1.2.1       106868 Bytes  22.08.2010 08:00:14
AESCRIPT.DLL  : 8.1.3.53     1282427 Bytes  31.01.2011 16:16:27
AESCN.DLL     : 8.1.7.2       127349 Bytes  22.11.2010 17:08:50
AESBX.DLL     : 8.1.3.2       254324 Bytes  22.11.2010 17:08:47
AERDL.DLL     : 8.1.9.2       635252 Bytes  21.09.2010 18:50:11
AEPACK.DLL    : 8.2.4.9       512374 Bytes  31.01.2011 16:16:26
AEOFFICE.DLL  : 8.1.1.16      205179 Bytes  31.01.2011 16:16:25
AEHEUR.DLL    : 8.1.2.70     3191159 Bytes  31.01.2011 16:16:24
AEHELP.DLL    : 8.1.16.0      246136 Bytes  02.12.2010 18:00:23
AEGEN.DLL     : 8.1.5.2       397683 Bytes  23.01.2011 09:36:09
AEEMU.DLL     : 8.1.3.0       393589 Bytes  22.11.2010 17:08:02
AECORE.DLL    : 8.1.19.2      196983 Bytes  23.01.2011 09:36:08
AEBB.DLL      : 8.1.1.0        53618 Bytes  26.04.2010 18:37:19
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 09:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 10:27:58
AVREP.DLL     : 8.0.0.7       159784 Bytes  16.02.2010 17:19:09
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 12:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 09:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 13:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 18:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 13:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 13:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 14:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Suche nach Rootkits
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\rootkit.avp
Protokollierung..................: hoch
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Erweiterte Sucheinstellungen.....: 0x00300922

Beginn des Suchlaufs: Donnerstag, 3. Februar 2011  21:49

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '288591' Objekte überprüft, '1' versteckte Objekte wurden gefunden.

...

##########  gekürzt  ###########

...

Ende des Suchlaufs: Freitag, 4. Februar 2011  02:52
Benötigte Zeit:  5:02:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   5417 Verzeichnisse wurden überprüft
 192369 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
     25 Dateien konnten nicht durchsucht werden
 192344 Dateien ohne Befall
   1836 Archive wurden durchsucht
     29 Warnungen
   6670 Hinweise
 288591 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden

kira · 04.02.2011, 16:20

wenn wieder Ruhe eingekehrt ist?

tobias_x31 · 04.02.2011, 18:50

Zitat:

wenn wieder Ruhe eingekehrt ist?

Sorry wenn ich jetzt blöd frage, aber was meinst Du damit?

Konntest Du denn an den log files was erkennen?
Meinst Du das Mistding ist schon weg?

Ich hätte gerne wieder ein ruhigeres Gewissen...

Danke und Gruß,
Tobias

TR/ATRAPS.Gen in Datei mfcMobiledlg.dll

Plagegeister aller Art und deren Bekämpfung: TR/ATRAPS.Gen in Datei mfcMobiledlg.dll