Spyware.Agent in System Volume Information in der Datei A0032786.rbf
 

Ich habe gestern einen "Vollständigen Suchlauf" mit Malwarebytes' Anti-Malware gemacht und es wurde Spyware.Agent entdeckt.
Hier der Log:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6978

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.06.2011 22:30:32
mbam-log-2011-06-29 (22-30-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 254469
Laufzeit: 1 Stunde(n), 0 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{b45a4ba5-9696-4ad4-a191-972ceaccf995}\RP182\A0032786.rbf (Spyware.Agent) -> Quarantined and deleted successfully.

Ich werde noch neue Scans machen mit Avira Antivir Personal - Free Antivirus (Alternative dazu wäre nett, weil der neue Kram mit Ask geht mir auf den Zeiger, habe den Webguard zum Glück nicht installiert) und Malwarebytes' Anti-Malware.

So habe jetzt die neuen Scanreports von Avira und Mbam, als ich die Scans gestartet habe, waren beide aktuell, könnte sich inzwischen ja geändert haben, sind immerhin 2 Stunden vergangen, Namen wurden durch "X" ersetzt:

Avira-Log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 30. Juni 2011 07:22

Es wird nach 2857726 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : X-5F24D2660

Versionsinformationen:
BUILD.DAT : 10.2.0.690 35934 Bytes 22.06.2011 18:02:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 12:02:34
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 12:02:34
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 12:02:34
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 12:22:40
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 12:02:35
AVREG.DLL : 10.3.0.7 90472 Bytes 28.06.2011 12:02:35
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 05:52:59
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 05:53:00
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:35:39
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 10:18:22
VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 10:18:22
VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 10:18:23
VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 10:18:23
VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 10:18:23
VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 10:18:23
VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 10:18:23
VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 10:18:23
VBASE013.VDF : 7.11.8.222 121856 Bytes 02.06.2011 23:49:15
VBASE014.VDF : 7.11.9.7 134656 Bytes 04.06.2011 13:10:35
VBASE015.VDF : 7.11.9.42 136192 Bytes 06.06.2011 13:39:56
VBASE016.VDF : 7.11.9.72 117248 Bytes 07.06.2011 12:44:57
VBASE017.VDF : 7.11.9.107 130560 Bytes 09.06.2011 05:03:40
VBASE018.VDF : 7.11.9.143 132096 Bytes 10.06.2011 14:53:41
VBASE019.VDF : 7.11.9.172 141824 Bytes 14.06.2011 04:29:55
VBASE020.VDF : 7.11.9.214 144896 Bytes 15.06.2011 14:32:34
VBASE021.VDF : 7.11.9.244 196608 Bytes 16.06.2011 15:51:31
VBASE022.VDF : 7.11.10.28 152576 Bytes 20.06.2011 14:12:57
VBASE023.VDF : 7.11.10.53 210432 Bytes 21.06.2011 14:12:58
VBASE024.VDF : 7.11.10.88 132096 Bytes 24.06.2011 14:12:58
VBASE025.VDF : 7.11.10.112 138752 Bytes 27.06.2011 14:12:59
VBASE026.VDF : 7.11.10.148 162304 Bytes 29.06.2011 12:01:06
VBASE027.VDF : 7.11.10.158 168448 Bytes 29.06.2011 05:21:48
VBASE028.VDF : 7.11.10.159 2048 Bytes 29.06.2011 05:21:48
VBASE029.VDF : 7.11.10.160 2048 Bytes 29.06.2011 05:21:48
VBASE030.VDF : 7.11.10.161 2048 Bytes 29.06.2011 05:21:48
VBASE031.VDF : 7.11.10.167 23552 Bytes 30.06.2011 05:21:49
Engineversion : 8.2.5.24
AEVDF.DLL : 8.1.2.1 106868 Bytes 21.04.2011 05:52:30
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 15.06.2011 22:54:00
AESCN.DLL : 8.1.7.2 127349 Bytes 21.04.2011 05:52:28
AESBX.DLL : 8.2.1.34 323957 Bytes 15.06.2011 22:54:00
AERDL.DLL : 8.1.9.9 639347 Bytes 17.06.2011 10:34:32
AEPACK.DLL : 8.2.6.9 557429 Bytes 15.06.2011 22:54:00
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 15.06.2011 22:54:00
AEHEUR.DLL : 8.1.2.132 3567992 Bytes 27.06.2011 14:13:09
AEHELP.DLL : 8.1.17.2 246135 Bytes 15.06.2011 22:54:00
AEGEN.DLL : 8.1.5.6 401780 Bytes 15.06.2011 22:54:00
AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 05:52:17
AECORE.DLL : 8.1.21.1 196983 Bytes 15.06.2011 22:54:00
AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 05:52:16
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 05:52:39
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 12:02:34
AVREP.DLL : 10.0.0.10 174120 Bytes 27.06.2011 14:13:10
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 12:02:34
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 12:02:34
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:59:50
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 05:52:38
NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 05:52:50
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 12:02:33
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 12:02:33

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 30. Juni 2011 07:22

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDClock.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMedia.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDCountdown.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDPop3.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'LGDCore.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'LCDMon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'LgDevAgt.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '164' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '409' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'


Ende des Suchlaufs: Donnerstag, 30. Juni 2011 08:18
Benötigte Zeit: 55:24 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8133 Verzeichnisse wurden überprüft
281899 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
281899 Dateien ohne Befall
1321 Archive wurden durchsucht
0 Warnungen
0 Hinweise
322992 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Mbam-Log:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6985

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.06.2011 07:21:10
mbam-log-2011-06-30 (07-21-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 251047
Laufzeit: 54 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Es wurde bei beidem nichts mehr gefunden, dabei habe ich nur die Systemwiederherstellungspunkte gelöscht und Ccleaner über den PC laufen lassen.