Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Avira fund RKIT/AGENT.4370492 und WORM/CONFICKER.Z59.Kan ich die sicher entfernen? (https://www.trojaner-board.de/108018-avira-fund-rkit-agent-4370492-worm-conficker-z59-kan-sicher-entfernen.html)

senor d 25.01.2012 12:54
Habe alles gemacht wie beschrieben.Beim Scan von aswMBR hat Avira einen Fund gemacht,der jetzt in qurantäne gesetzt ist.Ich Sende den Avira Report gleich mit.

GMER LOG:

GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-01-25 12:39:46
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 TOSHIBA_MK8025GAS rev.KA020U
Running: rgmih49i.exe; Driver: C:\DOKUME~1\home\LOKALE~1\Temp\kgrcqkob.sys


---- System - GMER 1.0.15 ----

SSDT  F7CF42DC                                                                                      ZwClose
SSDT  F7CF4296                                                                                      ZwCreateKey
SSDT  F7CF42E6                                                                                      ZwCreateSection
SSDT  F7CF428C                                                                                      ZwCreateThread
SSDT  F7CF429B                                                                                      ZwDeleteKey
SSDT  F7CF42A5                                                                                      ZwDeleteValueKey
SSDT  F7CF42D7                                                                                      ZwDuplicateObject
SSDT  F7CF42AA                                                                                      ZwLoadKey
SSDT  F7CF4278                                                                                      ZwOpenProcess
SSDT  F7CF427D                                                                                      ZwOpenThread
SSDT  F7CF42FF                                                                                      ZwQueryValueKey
SSDT  F7CF42B4                                                                                      ZwReplaceKey
SSDT  F7CF42F0                                                                                      ZwRequestWaitReplyPort
SSDT  F7CF42AF                                                                                      ZwRestoreKey
SSDT  F7CF42EB                                                                                      ZwSetContextThread
SSDT  F7CF42F5                                                                                      ZwSetSecurityObject
SSDT  F7CF42A0                                                                                      ZwSetValueKey
SSDT  F7CF42FA                                                                                      ZwSystemDebugControl
SSDT  F7CF4287                                                                                      ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?      C:\DOKUME~1\home\LOKALE~1\Temp\aswMBR.sys                                                    Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\ctfmon.exe[2060] USERENV.dll!RegisterGPNotification + 310                76628917 1 Byte  [09]
.text  C:\WINDOWS\system32\wuauclt.exe[2912] USERENV.dll!ExpandEnvironmentStringsForUserW + 374      76627AA7 1 Byte  [0D]
.text  C:\WINDOWS\system32\wuauclt.exe[2912] USERENV.dll!RegisterGPNotification + 310                76628917 1 Byte  [09]

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SOFTWARE\Classes\CLSID\{D2423620-51A0-11D2-9CAF-0060B0EC3D39}\ProgID@                    Microsoft.XMLParser.1.0
Reg    HKLM\SOFTWARE\Classes\CLSID\{D269BF5C-D9C1-11D3-B38F-00105A1F473A}\TypeLib@                  {565783C6-CB41-11D1-8B02-00600806D9B6}
Reg    HKLM\SOFTWARE\Classes\CLSID\{D269BF5C-D9C1-11D3-B38F-00105A1F473A}\VersionIndependentProgI@@  WbemScripting.SWbemRefresher

---- EOF - GMER 1.0.15 ----
--- --- ---



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 25. Januar 2012 11:50

Es wird nach 3215277 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HOME-DE583A83ED

Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 15.12.2011 13:59:39
AVSCAN.DLL : 12.1.0.17 65744 Bytes 15.12.2011 13:59:56
LUKE.DLL : 12.1.0.17 68304 Bytes 15.12.2011 13:59:47
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 15.12.2011 13:59:39
AVREG.DLL : 12.1.0.27 227536 Bytes 15.12.2011 13:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:04:57
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 13:04:59
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 13:04:59
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 13:04:59
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 13:04:59
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 13:04:59
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 13:04:59
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 13:04:59
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 13:04:59
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 13:04:59
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 13:04:59
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 13:05:08
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 13:05:13
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 13:05:19
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 13:05:26
VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 13:05:31
VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 13:05:35
VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 12:57:25
VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 19:15:08
VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 19:14:56
VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 14:55:02
VBASE023.VDF : 7.11.21.40 163840 Bytes 16.01.2012 10:27:17
VBASE024.VDF : 7.11.21.65 1001472 Bytes 17.01.2012 10:27:23
VBASE025.VDF : 7.11.21.98 487424 Bytes 19.01.2012 20:21:43
VBASE026.VDF : 7.11.21.99 2048 Bytes 19.01.2012 20:21:43
VBASE027.VDF : 7.11.21.100 2048 Bytes 19.01.2012 20:21:43
VBASE028.VDF : 7.11.21.101 2048 Bytes 19.01.2012 20:21:43
VBASE029.VDF : 7.11.21.102 2048 Bytes 19.01.2012 20:21:43
VBASE030.VDF : 7.11.21.103 2048 Bytes 19.01.2012 20:21:44
VBASE031.VDF : 7.11.21.147 237056 Bytes 24.01.2012 20:21:50
Engineversion : 8.2.8.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36
AESCRIPT.DLL : 8.1.4.1 434553 Bytes 21.01.2012 20:21:53
AESCN.DLL : 8.1.8.1 127348 Bytes 21.01.2012 20:21:52
AESBX.DLL : 8.2.4.5 434549 Bytes 15.12.2011 13:59:35
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.2.16.1 799094 Bytes 19.01.2012 10:27:27
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 05.01.2012 13:06:40
AEHEUR.DLL : 8.1.3.19 4309367 Bytes 21.01.2012 20:21:52
AEHELP.DLL : 8.1.19.0 254327 Bytes 21.01.2012 20:21:45
AEGEN.DLL : 8.1.5.17 405877 Bytes 15.12.2011 13:59:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58
AECORE.DLL : 8.1.25.2 201079 Bytes 21.01.2012 20:21:45
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38
AVARKT.DLL : 12.1.0.19 208848 Bytes 15.12.2011 13:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f1fdb76\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Mittwoch, 25. Januar 2012 11:50

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aswMBR(1).exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\_avast4_\unp92315705.tmp'
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\_avast4_\unp92315705.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c8a7e3b.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 25. Januar 2012 11:50
Benötigte Zeit: 00:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
30 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
29 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Gruß Senor d
Grüße senor d

cosinus 25.01.2012 13:20
Zitat:
von aswMBR hat Avira einen Fund gemacht,der jetzt in qurantäne gesetzt ist.Ich Sende den Avira Report gleich mit.
Das ist ein Fehlalarm :stirn:
Und die Logs solltest du alle in CODE-Tags posten. Ich weiß nicht warum du hier wieder so einen Mischmasch produzierst
Eins in CODE-Tags, das andere ohne irgendwas und die letzten beiden einzeln gezippt im Anhang, der verstehe wer will :balla:

senor d 25.01.2012 14:06
Tut mir leid bin wirklich der totale Anfänger was pc s angeht.Habe die letzen beiden als zip anhang mitgesendet weil es sonst nicht gepast hätte von der größe.Soll ich die logs jetzt nochmal ordentlich Posten?Und wenn ja wie?
Hoffe ihr habt verständnis für meine unwissenheit.:dankeschoen:

Gruß senor d

cosinus 25.01.2012 14:29
Wie du es posten sollst wurde beschrieben
Lies die entsprechenden Passagen kann ja nicht sein, dass ich immer alles doppelt und dreifach posten muss

senor d 25.01.2012 16:44
GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-01-25 12:39:46
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 TOSHIBA_MK8025GAS rev.KA020U
Running: rgmih49i.exe; Driver: C:\DOKUME~1\home\LOKALE~1\Temp\kgrcqkob.sys


---- System - GMER 1.0.15 ----

SSDT  F7CF42DC                                                                                      ZwClose
SSDT  F7CF4296                                                                                      ZwCreateKey
SSDT  F7CF42E6                                                                                      ZwCreateSection
SSDT  F7CF428C                                                                                      ZwCreateThread
SSDT  F7CF429B                                                                                      ZwDeleteKey
SSDT  F7CF42A5                                                                                      ZwDeleteValueKey
SSDT  F7CF42D7                                                                                      ZwDuplicateObject
SSDT  F7CF42AA                                                                                      ZwLoadKey
SSDT  F7CF4278                                                                                      ZwOpenProcess
SSDT  F7CF427D                                                                                      ZwOpenThread
SSDT  F7CF42FF                                                                                      ZwQueryValueKey
SSDT  F7CF42B4                                                                                      ZwReplaceKey
SSDT  F7CF42F0                                                                                      ZwRequestWaitReplyPort
SSDT  F7CF42AF                                                                                      ZwRestoreKey
SSDT  F7CF42EB                                                                                      ZwSetContextThread
SSDT  F7CF42F5                                                                                      ZwSetSecurityObject
SSDT  F7CF42A0                                                                                      ZwSetValueKey
SSDT  F7CF42FA                                                                                      ZwSystemDebugControl
SSDT  F7CF4287                                                                                      ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?      C:\DOKUME~1\home\LOKALE~1\Temp\aswMBR.sys                                                    Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\ctfmon.exe[2060] USERENV.dll!RegisterGPNotification + 310                76628917 1 Byte  [09]
.text  C:\WINDOWS\system32\wuauclt.exe[2912] USERENV.dll!ExpandEnvironmentStringsForUserW + 374      76627AA7 1 Byte  [0D]
.text  C:\WINDOWS\system32\wuauclt.exe[2912] USERENV.dll!RegisterGPNotification + 310                76628917 1 Byte  [09]

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SOFTWARE\Classes\CLSID\{D2423620-51A0-11D2-9CAF-0060B0EC3D39}\ProgID@                    Microsoft.XMLParser.1.0
Reg    HKLM\SOFTWARE\Classes\CLSID\{D269BF5C-D9C1-11D3-B38F-00105A1F473A}\TypeLib@                  {565783C6-CB41-11D1-8B02-00600806D9B6}
Reg    HKLM\SOFTWARE\Classes\CLSID\{D269BF5C-D9C1-11D3-B38F-00105A1F473A}\VersionIndependentProgI@@  WbemScripting.SWbemRefresher

---- EOF - GMER 1.0.15 ----
[/CODE]
--- --- ---

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 11:26:14 on 25.01.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 9.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( HKLM\SOFTWARE\Microsoft\Windows Scripting Host\Locations )-----
"CScript" - "Microsoft Corporation" - C:\WINDOWS\System32\cscript.exe
"WScript" - "Microsoft Corporation" - C:\WINDOWS\System32\wscript.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)
"CD-ROM-Laufwerktreiber" (Cdrom) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\cdrom.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"cpuz135" (cpuz135) - "CPUID" - C:\WINDOWS\system32\drivers\cpuz135_x32.sys
"Fs_Rec" (Fs_Rec) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\Fs_Rec.sys
"giveio" (giveio) - ? - C:\WINDOWS\System32\giveio.sys  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kgrcqkob" (kgrcqkob) - ? - C:\DOKUME~1\home\LOKALE~1\Temp\kgrcqkob.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MpKslafa6d0b1" (MpKslafa6d0b1) - ? - c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E291C532-3066-43CC-9CD9-1A9EEA1B45B3}\MpKslafa6d0b1.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Service for Realtek AC97 Audio (WDM)" (ALCXWDM) - "Realtek Semiconductor Corp." - C:\WINDOWS\System32\drivers\ALCXWDM.SYS  (Data mismatch, rootkit activity)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"Windows Driver Foundation - User-mode Driver Framework Platform Driver" (WudfPf) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\WudfPf.sys
"Windows Driver Foundation - User-mode Driver Framework Reflector" (WudfRd) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\wudfrd.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} "Internet Explorer Version Update" - "Microsoft Corporation" - C:\WINDOWS\system32\ieudinit.exe
{6BF52A52-394A-11d3-B153-00C04F79FAA6} "Microsoft Windows Media Player" - "Microsoft Corporation" - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub
{44BBA842-CC51-11CF-AAFA-00AA00B6015B} "NetMeeting 3.01" - "Microsoft Corporation" - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
>{22d6f312-b0f6-11d0-94ab-0080c74c7e95} "Windows Media Player" - "Microsoft Corporation" - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
{5945c046-1e7d-11d1-bc44-00c04fd912be} "Windows Messenger 4.7" - "Microsoft Corporation" - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{12D51199-0DB5-46FE-A120-47A3D7D937CC} "DVD: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll  (Data mismatch, rootkit activity)
{CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} "TV: Pluggable Protocol" - "Microsoft Corporation" - C:\WINDOWS\system32\msvidctl.dll  (Data mismatch, rootkit activity)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Dokumente und Einstellungen\home\Desktop\7-Zip\7-zip.dll
{7D559C10-9FE9-11d0-93F7-00AA0059CE02} "Code Download Agent" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -  (File not found | COM-object registry key not found)
{62AE1F9A-126A-11D0-A14B-0800361B1103} "Directory Context Menu Verbs" - "Microsoft Corporation" - C:\WINDOWS\system32\dsuiext.dll
{0D45D530-764B-11d0-A1CA-00AA00C16E65} "Directory Property UI" - "Microsoft Corporation" - C:\WINDOWS\system32\dsuiext.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -  (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{35786D3C-B075-49b9-88DD-029876E11C01} "Portable Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll
{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} "Portable Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll
{640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{60254CA5-953B-11CF-8C96-00AA00B8708C} "Shell Extension For Windows Script Host" - "Microsoft Corporation" - C:\WINDOWS\system32\wshext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{F5175861-2688-11d0-9C5E-00AA00A45957} "Subscription Folder" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll
{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE} "Subscription Mgr" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll
{E6FB5E20-DE35-11CF-9C87-00AA005127ED} "WebCheck" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll
{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB} "WebCheck SyncMgr Handler" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll
{08165EA0-E946-11CF-9C87-00AA005127ED} "WebCheckWebCrawler" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll
{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} "WMP Add To Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{8DD448E6-C188-4aed-AF92-44956194EB1F} "WMP Burn Audio CD Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} "WMP Play As Playlist Launcher" - "Microsoft Corporation" - C:\WINDOWS\system32\wmpshell.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad )-----
{E6FB5E20-DE35-11CF-9C87-00AA005127ED} "WebCheck" - "Microsoft Corporation" - C:\WINDOWS\system32\webcheck.dll
{AAA288BA-9A4C-45B0-95D7-94D524869DB5} "WPDShServiceObj Class" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshserviceobj.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Known DLLs]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs )-----
"advapi32" - "Microsoft Corporation" - C:\WINDOWS\system32\advapi32.dll
"gdi32" - "Microsoft Corporation" - C:\WINDOWS\system32\gdi32.dll
"kernel32" - "Microsoft Corporation" - C:\WINDOWS\system32\kernel32.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\home\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Automatic Updates" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll
"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"COM+-Ereignissystem" (EventSystem) - "Microsoft Corporation" - C:\WINDOWS\system32\es.dll
"DCOM-Server-Prozessstart" (DcomLaunch) - "Microsoft Corporation" - C:\WINDOWS\system32\rpcss.dll
"Ereignisprotokoll" (Eventlog) - "Microsoft Corporation" - C:\WINDOWS\system32\services.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NIHardwareService" (NIHardwareService) - "Native Instruments GmbH" - C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe
"Plug & Play" (PlugPlay) - "Microsoft Corporation" - C:\WINDOWS\system32\services.exe
"Portable Media Serial Number Service" (WmdmPmSN) - "Microsoft Corporation" - C:\WINDOWS\system32\mspmsnsv.dll
"Remoteprozeduraufruf (RPC)" (RpcSs) - "Microsoft Corporation" - C:\WINDOWS\System32\rpcss.dll
"Telefonie" (TapiSrv) - "Microsoft Corporation" - C:\WINDOWS\System32\tapisrv.dll  (Data mismatch, rootkit activity)
"Treibererweiterungen für Windows-Verwaltungsinstrumentation" (Wmi) - "Microsoft Corporation" - C:\WINDOWS\System32\advapi32.dll
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Driver Foundation - User-mode Driver Framework" (WudfSvc) - "Microsoft Corporation" - C:\WINDOWS\System32\WUDFSvc.dll
"Windows Installer" (MSIServer) - "Microsoft Corporation" - C:\WINDOWS\system32\msiexec.exe
"Windows Media Player-Netzwerkfreigabedienst" (WMPNetworkSvc) - "Microsoft Corporation" - C:\Programme\Windows Media Player\WMPNetwk.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" (SharedAccess) - "Microsoft Corporation" - C:\WINDOWS\System32\ipnathlp.dll
"Windows-Zeitgeber" (W32Time) - "Microsoft Corporation" - C:\WINDOWS\system32\w32time.dll

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63} "Drahtlos" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll
{F9C77450-3A41-477E-9310-9ACD617BD9E3} "Group Policy Applications" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{728EE579-943C-4519-9EF7-AB56765798ED} "Group Policy Data Sources" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{1A6364EB-776B-4120-ADE1-B63A406A76B5} "Group Policy Device Settings" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{5794DAFD-BE60-433f-88A2-1A31939AC01F} "Group Policy Drive Maps" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{0E28E245-9368-4853-AD84-6DA3BA35BB75} "Group Policy Environment" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{7150F9BF-48AD-4da4-A49C-29EF4A8369BA} "Group Policy Files" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{A3F3E39B-5D83-4940-B954-28315B82F0A8} "Group Policy Folder Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{6232C319-91AC-4931-9385-E70C2B099F0E} "Group Policy Folders" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{74EE6C03-5363-4554-B161-627540339CAB} "Group Policy Ini Files" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{E47248BA-94CC-49c4-BBB5-9EB7F05183D0} "Group Policy Internet Settings" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{17D89FEC-5C44-4972-B12D-241CAEF74509} "Group Policy Local Users and Groups" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{3A0DBA37-F8B2-4356-83DE-3E90BD5C261F} "Group Policy Network Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{6A4C88C6-C502-4f74-8F60-2CB23EDC24E2} "Group Policy Network Shares" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{E62688F0-25FD-4c90-BFF5-F508B9D2E31F} "Group Policy Power Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D} "Group Policy Printers" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{E5094040-C46C-4115-B030-04FB2E545B00} "Group Policy Regional Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{B087BE9D-ED37-454f-AF9C-04291E351182} "Group Policy Registry" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{AADCED64-746C-4633-A97C-D61349046527} "Group Policy Scheduled Tasks" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{91FBB303-0CD5-4055-BF42-E512A681B325} "Group Policy Services" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7} "Group Policy Shortcuts" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{E4F48E54-F38D-4884-BFB9-D4D2E5729C18} "Group Policy Start Menu Settings" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{e437bc1c-aa7d-11d2-a382-00c04f991e27} "IP-Sicherheit" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll
{426031c0-0b47-4852-b0ca-ac3d37bfcb39} "QoS-Paketplaner" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll
{42B5FAAE-6536-11d2-AE5A-0000F87571E3} "Skripts" - "Microsoft Corporation" - C:\WINDOWS\system32\gptext.dll
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru [/code]

Code:
aswMBR version 0.9.9.1509 Copyright(c) 2011 AVAST Software
Run date: 2012-01-25 11:45:36
-----------------------------
11:45:36.500    OS Version: Windows 5.1.2600 Service Pack 3
11:45:36.500    Number of processors: 1 586 0xD08
11:45:36.500    ComputerName: HOME-DE583A83ED  UserName: home
11:45:36.984    Initialize success
11:48:47.593    AVAST engine defs: 12012500
11:49:28.937    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
11:49:28.937    Disk 0 Vendor: TOSHIBA_MK8025GAS KA020U Size: 76319MB BusType: 3
11:49:28.953    Disk 0 MBR read successfully
11:49:28.953    Disk 0 MBR scan
11:49:29.000    Disk 0 Windows XP default MBR code
11:49:29.000    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        39997 MB offset 63
11:49:29.015    Disk 0 Partition - 00    0F Extended LBA            36310 MB offset 81915435
11:49:29.046    Disk 0 Partition 2 00    07    HPFS/NTFS NTFS        36310 MB offset 81915498
11:49:29.046    Disk 0 scanning sectors +156280320
11:49:29.171    Disk 0 scanning C:\WINDOWS\system32\drivers
11:49:40.156    Service scanning
11:49:41.296    Modules scanning
11:49:50.750    Disk 0 trace - called modules:
11:49:51.265    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys PCIIDEX.SYS
11:49:51.281    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86325ab8]
11:49:51.281    3 CLASSPNP.SYS[f766bfd7] -> nt!IofCallDriver -> \Device\00000075[0x8631b9e8]
11:49:51.281    5 ACPI.sys[f75c1620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86327940]
11:49:51.640    AVAST engine scan C:\WINDOWS
11:50:27.359    AVAST engine scan C:\WINDOWS\system32
11:53:53.296    AVAST engine scan C:\WINDOWS\system32\drivers
11:54:03.843    AVAST engine scan C:\Dokumente und Einstellungen\home
11:56:49.234    AVAST engine scan C:\Dokumente und Einstellungen\All Users
11:57:23.671    Scan finished successfully
11:57:54.250    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\home\Desktop\MBR.dat"
11:57:54.296    The log file has been saved successfully to "C:\Dokumente und Einstellungen\home\Desktop\aswMBR.txt"


Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 25. Januar 2012  11:50

Es wird nach 3215277 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : HOME-DE583A83ED

Versionsinformationen:
BUILD.DAT      : 12.0.0.872    41826 Bytes  15.12.2011 16:24:00
AVSCAN.EXE    : 12.1.0.18    490448 Bytes  15.12.2011 13:59:39
AVSCAN.DLL    : 12.1.0.17      65744 Bytes  15.12.2011 13:59:56
LUKE.DLL      : 12.1.0.17      68304 Bytes  15.12.2011 13:59:47
AVSCPLR.DLL    : 12.1.0.21      99536 Bytes  15.12.2011 13:59:39
AVREG.DLL      : 12.1.0.27    227536 Bytes  15.12.2011 13:59:38
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 23:31:49
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 13:04:57
VBASE003.VDF  : 7.11.19.171    2048 Bytes  20.12.2011 13:04:59
VBASE004.VDF  : 7.11.19.172    2048 Bytes  20.12.2011 13:04:59
VBASE005.VDF  : 7.11.19.173    2048 Bytes  20.12.2011 13:04:59
VBASE006.VDF  : 7.11.19.174    2048 Bytes  20.12.2011 13:04:59
VBASE007.VDF  : 7.11.19.175    2048 Bytes  20.12.2011 13:04:59
VBASE008.VDF  : 7.11.19.176    2048 Bytes  20.12.2011 13:04:59
VBASE009.VDF  : 7.11.19.177    2048 Bytes  20.12.2011 13:04:59
VBASE010.VDF  : 7.11.19.178    2048 Bytes  20.12.2011 13:04:59
VBASE011.VDF  : 7.11.19.179    2048 Bytes  20.12.2011 13:04:59
VBASE012.VDF  : 7.11.19.180    2048 Bytes  20.12.2011 13:04:59
VBASE013.VDF  : 7.11.19.217  182784 Bytes  22.12.2011 13:05:08
VBASE014.VDF  : 7.11.19.255  148480 Bytes  24.12.2011 13:05:13
VBASE015.VDF  : 7.11.20.29    164352 Bytes  27.12.2011 13:05:19
VBASE016.VDF  : 7.11.20.70    180224 Bytes  29.12.2011 13:05:26
VBASE017.VDF  : 7.11.20.102  240640 Bytes  02.01.2012 13:05:31
VBASE018.VDF  : 7.11.20.139  164864 Bytes  04.01.2012 13:05:35
VBASE019.VDF  : 7.11.20.178  167424 Bytes  06.01.2012 12:57:25
VBASE020.VDF  : 7.11.20.207  230400 Bytes  10.01.2012 19:15:08
VBASE021.VDF  : 7.11.20.236  150528 Bytes  11.01.2012 19:14:56
VBASE022.VDF  : 7.11.21.13    135168 Bytes  13.01.2012 14:55:02
VBASE023.VDF  : 7.11.21.40    163840 Bytes  16.01.2012 10:27:17
VBASE024.VDF  : 7.11.21.65  1001472 Bytes  17.01.2012 10:27:23
VBASE025.VDF  : 7.11.21.98    487424 Bytes  19.01.2012 20:21:43
VBASE026.VDF  : 7.11.21.99      2048 Bytes  19.01.2012 20:21:43
VBASE027.VDF  : 7.11.21.100    2048 Bytes  19.01.2012 20:21:43
VBASE028.VDF  : 7.11.21.101    2048 Bytes  19.01.2012 20:21:43
VBASE029.VDF  : 7.11.21.102    2048 Bytes  19.01.2012 20:21:43
VBASE030.VDF  : 7.11.21.103    2048 Bytes  19.01.2012 20:21:44
VBASE031.VDF  : 7.11.21.147  237056 Bytes  24.01.2012 20:21:50
Engineversion  : 8.2.8.34 
AEVDF.DLL      : 8.1.2.2      106868 Bytes  15.12.2011 13:59:36
AESCRIPT.DLL  : 8.1.4.1      434553 Bytes  21.01.2012 20:21:53
AESCN.DLL      : 8.1.8.1      127348 Bytes  21.01.2012 20:21:52
AESBX.DLL      : 8.2.4.5      434549 Bytes  15.12.2011 13:59:35
AERDL.DLL      : 8.1.9.15      639348 Bytes  14.12.2011 23:31:02
AEPACK.DLL    : 8.2.16.1      799094 Bytes  19.01.2012 10:27:27
AEOFFICE.DLL  : 8.1.2.25      201084 Bytes  05.01.2012 13:06:40
AEHEUR.DLL    : 8.1.3.19    4309367 Bytes  21.01.2012 20:21:52
AEHELP.DLL    : 8.1.19.0      254327 Bytes  21.01.2012 20:21:45
AEGEN.DLL      : 8.1.5.17      405877 Bytes  15.12.2011 13:59:31
AEEMU.DLL      : 8.1.3.0      393589 Bytes  14.12.2011 23:30:58
AECORE.DLL    : 8.1.25.2      201079 Bytes  21.01.2012 20:21:45
AEBB.DLL      : 8.1.1.0        53618 Bytes  14.12.2011 23:30:58
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  15.12.2011 13:59:41
AVPREF.DLL    : 12.1.0.17      51920 Bytes  15.12.2011 13:59:38
AVREP.DLL      : 12.1.0.17    179408 Bytes  15.12.2011 13:59:38
AVARKT.DLL    : 12.1.0.19    208848 Bytes  15.12.2011 13:59:36
AVEVTLOG.DLL  : 12.1.0.17    169168 Bytes  15.12.2011 13:59:37
SQLITE3.DLL    : 3.7.0.0      398288 Bytes  15.12.2011 13:59:50
AVSMTP.DLL    : 12.1.0.17      62928 Bytes  15.12.2011 13:59:39
NETNT.DLL      : 12.1.0.17      17104 Bytes  15.12.2011 13:59:47
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  15.12.2011 13:59:58
RCTEXT.DLL    : 12.1.0.16      98512 Bytes  15.12.2011 13:59:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f1fdb76\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Mittwoch, 25. Januar 2012  11:50

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aswMBR(1).exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\_avast4_\unp92315705.tmp'
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\_avast4_\unp92315705.tmp
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c8a7e3b.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 25. Januar 2012  11:50
Benötigte Zeit: 00:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    30 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    29 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
Gruß Senor d

cosinus 25.01.2012 16:46
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


senor d 26.01.2012 10:14
Hier die Logs

Code:
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.25.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
home :: HOME-DE583A83ED [Administrator]

25.01.2012 20:12:22
mbam-log-2012-01-25 (20-12-22).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 200746
Laufzeit: 45 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/26/2012 at 00:09 AM

Application Version : 5.0.1142

Core Rules Database Version : 8167
Trace Rules Database Version: 5979

Scan type      : Complete Scan
Total Scan Time : 00:54:38

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 426
Memory threats detected  : 0
Registry items scanned    : 21018
Registry threats detected : 0
File items scanned        : 34936
File threats detected    : 22

Adware.Tracking Cookie
        assets.porn.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
        cdn1.image.freeporn.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
        h2porn.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
        media1.shufuni.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
        stat.easydate.biz [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
        staticedge.hardsextube.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
        www.alphaporno.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\SC7WU6WW ]
        .fortunecity.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .fortunecity.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .fortunecity.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .fortunecity.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .histats.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .myroitracking.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .histats.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .yadro.ru [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .statcounter.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .userporn.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        accounts.google.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .imrworldwide.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]
        .imrworldwide.com [ C:\DOKUMENTE UND EINSTELLUNGEN\HOME\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DIU8C3L9.DEFAULT\COOKIES.SQLITE ]

Heur.Agent/Gen-WhiteBox
        C:\SYSTEM VOLUME INFORMATION\_RESTORE{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP7\A0012968.EXE

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-12 01:09:39
# local_time=2012-01-12 02:09:39 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 607922 607922 0 0
# compatibility_mode=8192 67108863 100 0 3867 3867 0 0
# scanned=20838
# found=0
# cleaned=0
# scan_time=1290
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-26 09:05:22
# local_time=2012-01-26 10:05:22 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 1801246 1801246 0 0
# compatibility_mode=8192 67108863 100 0 1197191 1197191 0 0
# scanned=29708
# found=0
# cleaned=0
# scan_time=2909
Gruß Senor d

cosinus 26.01.2012 15:55
Sieht ok aus, da wurden nur Cookies gefunden und ein Überrest in der SWH.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

senor d 28.01.2012 19:42
Ja habe leider immer noch Probleme und Funde.Am Donerstag hatte avira funde gemeldet dan ist der Rechner abgestürzt danach war der Deskop nur noch Blau.Später als sich der Deskop langsam wieder aufgebaut hat habe ich das System auf einen Tag zurückgesetz.Jetzt hatte ich endlich wieder zugriff auf die Programme wie Avira Malewarebytes,ESET,Super Antispiware und habe auch gleich Scans durchgeführt.Bei ESET ist der Rechner wieder abgestürzt und ESET hatte schon 7 Trojan Funde.Beim 2 ESET Scan lief es gut aber das Programm hat nichts mehr gefunden.Dan sollte ich viel. noch erwähnen das alles total daneben lief auf mein Rechner es haben sich nicht die internet Seiten geöffnet die ich öffnen wollte sonder irgenwelche anderen. Seiten. Außerdem ist Super Antispiware und Avira vom deskop verschwunden ohne das ich was getan habe. Und bei antispiware sind die Sachen auch nicht mehr in der Qurantäne die ich vor den Deskop verschwinden hatte. Ich sende mal die Logs und von Avira 2

Code:
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.26.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
home :: HOME-DE583A83ED [Administrator]

26.01.2012 22:30:04
mbam-log-2012-01-26 (22-30-04).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 204377
Laufzeit: 24 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\WINDOWS\temp\imidgx\setup.exe (Trojan.FakeMS) -> 1300 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SYSTEM\CurrentControlSet\Services\AMService (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{9F95813B-2321-11E1-9B8B-806D6172696F} (Trojan.FakeMS) -> Daten: C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\svhcost.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 22
C:\WINDOWS\temp\imidgx\setup.exe (Trojan.FakeMS) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\svhcost.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP69\A0066108.exe (Rogue.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP70\A0066271.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.9222238424727611.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\gigiti.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.1496825745190753.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.22661001146922943.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.23893908233579908.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.27615104322231265.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.27755999360686234.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.3948992485298467.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.40305363800203253.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.5053893880804791.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.6598566508465985.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.7846519951377907.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\tue0.8150649614042328.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\nyqocb\setup.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\rashas\setup.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\uyfweu\setup.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\_ex-08.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\temp\_ex-89.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-12 01:09:39
# local_time=2012-01-12 02:09:39 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 607922 607922 0 0
# compatibility_mode=8192 67108863 100 0 3867 3867 0 0
# scanned=20838
# found=0
# cleaned=0
# scan_time=1290
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-26 09:05:22
# local_time=2012-01-26 10:05:22 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 1801246 1801246 0 0
# compatibility_mode=8192 67108863 100 0 1197191 1197191 0 0
# scanned=29708
# found=0
# cleaned=0
# scan_time=2909
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-26 11:23:21
# local_time=2012-01-27 12:23:21 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 1852235 1852235 0 0
# compatibility_mode=8192 67108863 100 0 1248180 1248180 0 0
# scanned=34776
# found=1
# cleaned=0
# scan_time=3398
C:\WINDOWS\temp\jar_cache8512697496561855673.tmp        Java/TrojanDownloader.Agent.NDJ trojan (unable to clean)        00000000000000000000000000000000        I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-27 11:04:06
# local_time=2012-01-28 12:04:06 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 1937514 1937514 0 0
# compatibility_mode=8192 67108863 100 0 1333459 1333459 0 0
# scanned=35300
# found=7
# cleaned=0
# scan_time=3386
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\6dfed6bd-2a45a69d        Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe        Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9ehayigg.default\Cache\E\FA\A2EAAd01        JS/Kryptik.GL.Gen Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe        Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\edbqsqfd.exe        Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\jar_cache4576071050147885447.tmp        Java/TrojanDownloader.Agent.NDJ Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I
C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP73\A0071538.exe        Variante von Win32/Kryptik.ZOH Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-27 11:51:16
# local_time=2012-01-28 12:51:16 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 1941133 1941133 0 0
# compatibility_mode=8192 67108863 100 0 1337078 1337078 0 0
# scanned=35306
# found=7
# cleaned=7
# scan_time=2598
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\6dfed6bd-2a45a69d        Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe        Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\Administrator.HOME-DE583A83ED\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9ehayigg.default\Cache\E\FA\A2EAAd01        JS/Kryptik.GL.Gen Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe        Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\edbqsqfd.exe        Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\home\Lokale Einstellungen\temp\jar_cache4576071050147885447.tmp        Java/TrojanDownloader.Agent.NDJ Trojaner (gelöscht - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\System Volume Information\_restore{300FF6BB-8CEC-429F-8EB1-35A27128CD31}\RP73\A0071538.exe        Variante von Win32/Kryptik.ZOH Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4f6c498d21b0a841a0d7cd5408cdd04a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-28 02:38:07
# local_time=2012-01-28 03:38:07 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 1993161 1993161 0 0
# compatibility_mode=8192 67108863 100 0 1389106 1389106 0 0
# scanned=35709
# found=0
# cleaned=0
# scan_time=3759
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/28/2012 at 06:27 PM

Application Version : 5.0.1142

Core Rules Database Version : 8178
Trace Rules Database Version: 5990

Scan type      : Complete Scan
Total Scan Time : 01:38:53

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 435
Memory threats detected  : 0
Registry items scanned    : 21246
Registry threats detected : 0
File items scanned        : 36854
File threats detected    : 4

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\home\Cookies\CM1WPMOP.txt [ /tracking.quisma.com ]
        C:\Dokumente und Einstellungen\home\Cookies\6Q6GNIYA.txt [ /serving-sys.com ]
        C:\Dokumente und Einstellungen\home\Cookies\NP25F7V3.txt [ /adtech.de ]
        C:\Dokumente und Einstellungen\home\Cookies\SMHA2585.txt [ /revsci.net ]


Code:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 26. Januar 2012  17:49

Es wird nach 3276698 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : HOME-DE583A83ED

Versionsinformationen:
BUILD.DAT      : 12.0.0.872    41826 Bytes  15.12.2011 16:24:00
AVSCAN.EXE    : 12.1.0.18    490448 Bytes  15.12.2011 13:59:39
AVSCAN.DLL    : 12.1.0.17      65744 Bytes  15.12.2011 13:59:56
LUKE.DLL      : 12.1.0.17      68304 Bytes  15.12.2011 13:59:47
AVSCPLR.DLL    : 12.1.0.21      99536 Bytes  15.12.2011 13:59:39
AVREG.DLL      : 12.1.0.27    227536 Bytes  15.12.2011 13:59:38
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 23:31:49
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 13:04:57
VBASE003.VDF  : 7.11.19.171    2048 Bytes  20.12.2011 13:04:59
VBASE004.VDF  : 7.11.19.172    2048 Bytes  20.12.2011 13:04:59
VBASE005.VDF  : 7.11.19.173    2048 Bytes  20.12.2011 13:04:59
VBASE006.VDF  : 7.11.19.174    2048 Bytes  20.12.2011 13:04:59
VBASE007.VDF  : 7.11.19.175    2048 Bytes  20.12.2011 13:04:59
VBASE008.VDF  : 7.11.19.176    2048 Bytes  20.12.2011 13:04:59
VBASE009.VDF  : 7.11.19.177    2048 Bytes  20.12.2011 13:04:59
VBASE010.VDF  : 7.11.19.178    2048 Bytes  20.12.2011 13:04:59
VBASE011.VDF  : 7.11.19.179    2048 Bytes  20.12.2011 13:04:59
VBASE012.VDF  : 7.11.19.180    2048 Bytes  20.12.2011 13:04:59
VBASE013.VDF  : 7.11.19.217  182784 Bytes  22.12.2011 13:05:08
VBASE014.VDF  : 7.11.19.255  148480 Bytes  24.12.2011 13:05:13
VBASE015.VDF  : 7.11.20.29    164352 Bytes  27.12.2011 13:05:19
VBASE016.VDF  : 7.11.20.70    180224 Bytes  29.12.2011 13:05:26
VBASE017.VDF  : 7.11.20.102  240640 Bytes  02.01.2012 13:05:31
VBASE018.VDF  : 7.11.20.139  164864 Bytes  04.01.2012 13:05:35
VBASE019.VDF  : 7.11.20.178  167424 Bytes  06.01.2012 12:57:25
VBASE020.VDF  : 7.11.20.207  230400 Bytes  10.01.2012 19:15:08
VBASE021.VDF  : 7.11.20.236  150528 Bytes  11.01.2012 19:14:56
VBASE022.VDF  : 7.11.21.13    135168 Bytes  13.01.2012 14:55:02
VBASE023.VDF  : 7.11.21.40    163840 Bytes  16.01.2012 10:27:17
VBASE024.VDF  : 7.11.21.65  1001472 Bytes  17.01.2012 10:27:23
VBASE025.VDF  : 7.11.21.98    487424 Bytes  19.01.2012 20:21:43
VBASE026.VDF  : 7.11.21.156  1010688 Bytes  25.01.2012 20:21:59
VBASE027.VDF  : 7.11.21.157    2048 Bytes  25.01.2012 20:21:59
VBASE028.VDF  : 7.11.21.158    2048 Bytes  25.01.2012 20:21:59
VBASE029.VDF  : 7.11.21.159    2048 Bytes  25.01.2012 20:21:59
VBASE030.VDF  : 7.11.21.160    2048 Bytes  25.01.2012 20:21:59
VBASE031.VDF  : 7.11.21.165    75776 Bytes  25.01.2012 20:22:00
Engineversion  : 8.2.8.34 
AEVDF.DLL      : 8.1.2.2      106868 Bytes  15.12.2011 13:59:36
AESCRIPT.DLL  : 8.1.4.1      434553 Bytes  21.01.2012 20:21:53
AESCN.DLL      : 8.1.8.1      127348 Bytes  21.01.2012 20:21:52
AESBX.DLL      : 8.2.4.5      434549 Bytes  15.12.2011 13:59:35
AERDL.DLL      : 8.1.9.15      639348 Bytes  14.12.2011 23:31:02
AEPACK.DLL    : 8.2.16.1      799094 Bytes  19.01.2012 10:27:27
AEOFFICE.DLL  : 8.1.2.25      201084 Bytes  05.01.2012 13:06:40
AEHEUR.DLL    : 8.1.3.19    4309367 Bytes  21.01.2012 20:21:52
AEHELP.DLL    : 8.1.19.0      254327 Bytes  21.01.2012 20:21:45
AEGEN.DLL      : 8.1.5.17      405877 Bytes  15.12.2011 13:59:31
AEEMU.DLL      : 8.1.3.0      393589 Bytes  14.12.2011 23:30:58
AECORE.DLL    : 8.1.25.2      201079 Bytes  21.01.2012 20:21:45
AEBB.DLL      : 8.1.1.0        53618 Bytes  14.12.2011 23:30:58
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  15.12.2011 13:59:41
AVPREF.DLL    : 12.1.0.17      51920 Bytes  15.12.2011 13:59:38
AVREP.DLL      : 12.1.0.17    179408 Bytes  15.12.2011 13:59:38
AVARKT.DLL    : 12.1.0.19    208848 Bytes  15.12.2011 13:59:36
AVEVTLOG.DLL  : 12.1.0.17    169168 Bytes  15.12.2011 13:59:37
SQLITE3.DLL    : 3.7.0.0      398288 Bytes  15.12.2011 13:59:50
AVSMTP.DLL    : 12.1.0.17      62928 Bytes  15.12.2011 13:59:39
NETNT.DLL      : 12.1.0.17      17104 Bytes  15.12.2011 13:59:47
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  15.12.2011 13:59:58
RCTEXT.DLL    : 12.1.0.16      98512 Bytes  15.12.2011 13:59:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f218084\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 26. Januar 2012  17:49

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'K278XojZ2HLEVB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'setup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'njxvRaoskC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\temp\hufofb\setup.exe'
C:\WINDOWS\temp\hufofb\setup.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dea25ab.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 26. Januar 2012  17:49
Benötigte Zeit: 00:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    36 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    35 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
Code:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 27. Januar 2012  10:14

Es wird nach 3317660 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : home
Computername  : HOME-DE583A83ED

Versionsinformationen:
BUILD.DAT      : 12.0.0.872    41826 Bytes  15.12.2011 16:24:00
AVSCAN.EXE    : 12.1.0.18    490448 Bytes  15.12.2011 13:59:39
AVSCAN.DLL    : 12.1.0.17      65744 Bytes  15.12.2011 13:59:56
LUKE.DLL      : 12.1.0.17      68304 Bytes  15.12.2011 13:59:47
AVSCPLR.DLL    : 12.1.0.21      99536 Bytes  15.12.2011 13:59:39
AVREG.DLL      : 12.1.0.27    227536 Bytes  15.12.2011 13:59:38
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 23:31:49
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 13:04:57
VBASE003.VDF  : 7.11.19.171    2048 Bytes  20.12.2011 13:04:59
VBASE004.VDF  : 7.11.19.172    2048 Bytes  20.12.2011 13:04:59
VBASE005.VDF  : 7.11.19.173    2048 Bytes  20.12.2011 13:04:59
VBASE006.VDF  : 7.11.19.174    2048 Bytes  20.12.2011 13:04:59
VBASE007.VDF  : 7.11.19.175    2048 Bytes  20.12.2011 13:04:59
VBASE008.VDF  : 7.11.19.176    2048 Bytes  20.12.2011 13:04:59
VBASE009.VDF  : 7.11.19.177    2048 Bytes  20.12.2011 13:04:59
VBASE010.VDF  : 7.11.19.178    2048 Bytes  20.12.2011 13:04:59
VBASE011.VDF  : 7.11.19.179    2048 Bytes  20.12.2011 13:04:59
VBASE012.VDF  : 7.11.19.180    2048 Bytes  20.12.2011 13:04:59
VBASE013.VDF  : 7.11.19.217  182784 Bytes  22.12.2011 13:05:08
VBASE014.VDF  : 7.11.19.255  148480 Bytes  24.12.2011 13:05:13
VBASE015.VDF  : 7.11.20.29    164352 Bytes  27.12.2011 13:05:19
VBASE016.VDF  : 7.11.20.70    180224 Bytes  29.12.2011 13:05:26
VBASE017.VDF  : 7.11.20.102  240640 Bytes  02.01.2012 13:05:31
VBASE018.VDF  : 7.11.20.139  164864 Bytes  04.01.2012 13:05:35
VBASE019.VDF  : 7.11.20.178  167424 Bytes  06.01.2012 12:57:25
VBASE020.VDF  : 7.11.20.207  230400 Bytes  10.01.2012 19:15:08
VBASE021.VDF  : 7.11.20.236  150528 Bytes  11.01.2012 19:14:56
VBASE022.VDF  : 7.11.21.13    135168 Bytes  13.01.2012 14:55:02
VBASE023.VDF  : 7.11.21.40    163840 Bytes  16.01.2012 10:27:17
VBASE024.VDF  : 7.11.21.65  1001472 Bytes  17.01.2012 10:27:23
VBASE025.VDF  : 7.11.21.98    487424 Bytes  19.01.2012 20:21:43
VBASE026.VDF  : 7.11.21.156  1010688 Bytes  25.01.2012 20:21:59
VBASE027.VDF  : 7.11.21.176  600576 Bytes  26.01.2012 20:23:58
VBASE028.VDF  : 7.11.21.177    2048 Bytes  26.01.2012 20:23:58
VBASE029.VDF  : 7.11.21.178    2048 Bytes  26.01.2012 20:23:58
VBASE030.VDF  : 7.11.21.179    2048 Bytes  26.01.2012 20:23:58
VBASE031.VDF  : 7.11.21.185    59904 Bytes  26.01.2012 20:23:59
Engineversion  : 8.2.8.34 
AEVDF.DLL      : 8.1.2.2      106868 Bytes  15.12.2011 13:59:36
AESCRIPT.DLL  : 8.1.4.1      434553 Bytes  21.01.2012 20:21:53
AESCN.DLL      : 8.1.8.1      127348 Bytes  21.01.2012 20:21:52
AESBX.DLL      : 8.2.4.5      434549 Bytes  15.12.2011 13:59:35
AERDL.DLL      : 8.1.9.15      639348 Bytes  14.12.2011 23:31:02
AEPACK.DLL    : 8.2.16.1      799094 Bytes  19.01.2012 10:27:27
AEOFFICE.DLL  : 8.1.2.25      201084 Bytes  05.01.2012 13:06:40
AEHEUR.DLL    : 8.1.3.19    4309367 Bytes  21.01.2012 20:21:52
AEHELP.DLL    : 8.1.19.0      254327 Bytes  21.01.2012 20:21:45
AEGEN.DLL      : 8.1.5.17      405877 Bytes  15.12.2011 13:59:31
AEEMU.DLL      : 8.1.3.0      393589 Bytes  14.12.2011 23:30:58
AECORE.DLL    : 8.1.25.2      201079 Bytes  21.01.2012 20:21:45
AEBB.DLL      : 8.1.1.0        53618 Bytes  14.12.2011 23:30:58
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  15.12.2011 13:59:41
AVPREF.DLL    : 12.1.0.17      51920 Bytes  15.12.2011 13:59:38
AVREP.DLL      : 12.1.0.17    179408 Bytes  15.12.2011 13:59:38
AVARKT.DLL    : 12.1.0.19    208848 Bytes  15.12.2011 13:59:36
AVEVTLOG.DLL  : 12.1.0.17    169168 Bytes  15.12.2011 13:59:37
SQLITE3.DLL    : 3.7.0.0      398288 Bytes  15.12.2011 13:59:50
AVSMTP.DLL    : 12.1.0.17      62928 Bytes  15.12.2011 13:59:39
NETNT.DLL      : 12.1.0.17      17104 Bytes  15.12.2011 13:59:47
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  15.12.2011 13:59:58
RCTEXT.DLL    : 12.1.0.16      98512 Bytes  15.12.2011 13:59:59

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 27. Januar 2012  10:14

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NIHardwareService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1301' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\WINDOWS\temp\jar_cache8512697496561855673.tmp
  [0] Archivtyp: ZIP
  --> arjwtjssnfugspuf/alhkwsqjchugqgeuthjat.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Tange.C
  --> arjwtjssnfugspuf/cmhwavamlanwwqpngdrav.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Tange.B
  --> arjwtjssnfugspuf/dqjqfacusrddtpfycjakl.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Tange.H
  --> arjwtjssnfugspuf/pycyqpltpvpjdrqllfsgg.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.BQ
  --> arjwtjssnfugspuf/sksmwdfspvemucaqnjkvu.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Tange.I
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\WINDOWS\temp\jar_cache8512697496561855673.tmp
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Tange.I
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb4dea4.qua' verschoben!


Ende des Suchlaufs: Freitag, 27. Januar 2012  11:21
Benötigte Zeit: 42:07 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  4512 Verzeichnisse wurden überprüft
 154574 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 154569 Dateien ohne Befall
    757 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
Gruß senor d

senor d 28.01.2012 20:27
Achso viel sollte ich noch erwähnen das Malewarebytes sich nicht mehr benutzen lässt und immer wenn ich auf Scannen gehe kommt die error meldung "Run - time 13 Type mismatch".Und wenn ich auf up date gehe steht dort
"ein Fehler ist aufgetreten bitte geben Sie das Problm weiter...Programm-ERROR UPDATING(1812,0Confic missing corupt please rainstall".

Viel. hilft das ja weiter soll ich antimalewarebytes deinstalieren und neu instalieren ?

gruß senor d

cosinus 29.01.2012 18:53
Also ich weiß nicht was du da gemacht hast, das System war lt. Logs wieder unauffällig und Malwarebytes hat auch ncihts mehr gefunden und auf einmal hast du da wieder eine handfeste Infektion im System :(
Ich versteh das nicht, hast du irgendeinen Mist ohne Absprache ausgeführt? Anders kann ich mri das nicht erklären


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:57 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131