Versteckte Objekte, variierend in Anzahl / TR/ATRAPS.Gen2 Trojaner + Backdoors
 

Guten Abend oder auch Nacht!

Ich habe mir vorher dieses Thema durchgelesen
http://www.trojaner-board.de/84278-1...patibel-5.html
und obwohl dies ähnlich ist bei mir (so meine Vermutung), denke ich dass ich vll mehr dahinter habe, als eine Falschmeldung von Avira Antivirus.

Ich habe mir (meine Freundin war an dem Rechner, ich möchte nur der einfachheithalber sagen "ich", d.h. aber auch, dass ich nicht weiß ob es richtig ausgeführt wurde) einen Trojaner durch FB geholt, da dort durch schon infizierte Leute ein Foto geschickt wird was IMG064....JPG.scr heißt. Ich denke die Nummerierungen sind wirrkürlich gewählt, aber scr steht ja quasi für Screensaver soweit ich weiß.
Nach einem Scan durch Avira wurde der Trojaner ATRAPS.Gen2 gefunden und gelöscht, sonst gab es erstmal nichts. Mit dem Malwarebytes Anti-Malware habe ich 11 infizierte Objekte gefunden, wobei 4 davon Backdoor.IRCBots waren und die restlichen Sachen nur die Struktur von einer Malware hatten (ich kann mit Sicherheit sagen, dass die nicht bedrohlich waren, da multiple Archivierungen oder z.B. Crack Attack [ein Spiel] angeblich ein unsupportete Archiv benutzt). Also habe ich die sicherheitshalber auch gelöscht.
Ich dachte damit wäre es getan, jedoch jedes mal wenn ich neustarte und einen Scan durchführe, so tauchen immer wieder mehrere versteckte Objekte auf, die Avira nicht lesen/löschen oder einach Zugriff nehmen kann (ich führe Avira als Admin aus). Rootkit-Suchen haben 3 versteckte Objekte gefunden, die nicht einzusehen sind. Sowohl bei der Rootkit-Suche, als auch beim normalen Scan, stand immer am Ende, dass ein versteckter Treiber entdeckt wurde, der durch eine Speicherveränderung zu einem verdeckten Dateizugriff missbraucht werden kann. Das kommt jetzt jedes Mal, wenn ich scanne.
Um euch ein bisschen klarer zu zeigen, was ich mit variierend meine, war beim ersten Scan nur 3 versteckte Objekte präsent und beim zweiten Scan gab es 52 versteckte Objekte und grad eben, als ich gescannt hatte, waren 25 versteckte Objekte. Ich muss dazu noch sagen, dass ich nach dem ersten Scan alle "System Volume Information" Ordner gelöscht hatte per Live-CD (da ich dachte, dass die Malware oder was auch immer sich dort gut einnisten könnte und dort ist ja nichts system-benötigendes drin, so dass ichs löschen kann, soweit ich weiß) und deswegen vll die versteckten Objekte jetzt auftauchen (wobei vor der Löschung mindestens 3 versteckte Objekte waren). Jedenfalls haben Scan per Live-CDs nichts ergeben (ich habe eine Kaspersky Live-CD und die Avira Rescue-CD benutzt und da kamen nur harmlose Warnungen von multiplen Archivierungen und sowas, nichts, was wirklich bedrohlich aussah). Allerdings ergab ein Scan mit Avira im abgesichterten Modus, dass wieder versteckte Objekte gefunden wurden und auch wieder diese Angabe oder Hinweis, dass ein versteckter Treiber vorhanden ist.

Ich habe bei FB sofort geguckt und ich hatte keine ausgehenden Nachrichten gehabt, ich habe sofort per Laptop, über den ich auch jetzt hier schreibe, meine Passwörter geändert, damit ich mich persönlich wieder sicher fühlen konnte. Jedenfalls hat auch mein PC kein sonderliches Verhalten drauf und es scheint auch nichts gelöscht, verändert oder sonstwas gewesen zu sein. Ich habe aber dennoch Angst, dass irgendetwas noch auf der Platte ist, deswegen melde ich mich auch an dem Rechner nirgendswo an und arbeite am Laptop grad.

Ich denke, dass ich eine Neuinstallation machen muss, da sich die Malware, die ich wohl eingefangen hatte, sich festgesetzt hat und jetzt immer wieder neue Dateien infiziert und eine Neuinstallation als einziges das bereinigen kann.


Ich hoffe ich habe nichts vergessen zu erwähnen und dass die Infos ausreichen um es schon gut einzuschätzen, was bei mir abgeht.
Vielen Dank!


lg genkidama

Edit: Ich habe relativ vor kurzem Avira auf eine neue Version aktualisiert und hatte währenddessen auch nie Meldungen gehabt durch den Live-Scanner, dass ich etwas hatte. Ich weiß nicht, ob der Trojaner schon vorher da war oder nicht, ich vermute eher nicht. Da ich eigentlich sehr vorsichtig und misstrauisch Links ansehe etc.
Bei meinem Laptop werden z.B. keinerlei versteckte Objekte angezeigt, wenn ich einen vollen Scan per Adminaufruf, durchführe. Deswegen macht mich diese variierende Anzahl der Objekte so stutzig. =/

Bitte ALLE Logs vollständig davon posten!

Musst du dich jetzt entscheiden. Entweder Neuinstallation oder Bereinigung.

Ich werde gleich die Logs posten, wenn ich sie gefunden habe.
Meine Frage ist, ob eine Bereinigung zu 100% mein System wieder sauber bekommt? Sowie es scheint habe ich ja die offensichtlichen Trojaner/Malware oder was auch immer gelöscht, nur diese versteckten Objekte sind da jetzt. Ich denke ich sollte auch diese OTL Textdateien posten oder?

Eine Bereinigung ist ein Kompromiss. Wer garantiert sicher/sauber sein will, muss formatieren und eine Neuinstallation duchführen. Optimalerweise auch den MBR nochmal neu schreiben lassen oder zumindest direkt nach der Neuinstallation diesen checken

Alles klar, ich poste dann gleich mal die Logs, dann warte ich ab, was du dazu sagen wirst und dann werd ich dich auch was fragen wegen einer Neuinstallation, nur um sicher zu gehen.

Malwarebytes Anti-Malware Log (hab meine persönlichen Sachen rausgenommen wg Privatssphäre):

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7995

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

22.10.2011 00:48:57
mbam-log-2011-10-22 (00-48-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 412179
Laufzeit: 2 Stunde(n), 46 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
c:\Users\genki\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> 4384 -> Unloaded process successfully.
c:\Users\genki\AppData\Local\Temp\3341340.exe (Backdoor.IRCBot) -> 4960 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\genki\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\genki\AppData\Local\Temp\3341340.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\genki\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\PVG7BZMP\g[1].exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\genki\AppData\Local\Temp\60346.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
c:\Users\genki\AppData\Local\Temp\63997.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.

OTL.txt:OTL Logfile:
--- --- ---

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

OTL.txt:OTL Logfile:
--- --- ---

Malwarebytes Anti-Malware:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7995

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

22.10.2011 01:07:06
mbam-log-2011-10-22 (01-07-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 44303
Laufzeit: 5 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



------------------------------------
Und alle weiteren Scans sahen genauso aus, keine bösartigen Objekte gefunden und so.
Brauchst du die Protection.txt Datei?

Extras.txt von OTL.exe:OTL EXTRAS Logfile:
--- --- ---

Hier habe ich noch den Avira Log wo auch der Trojaner gefunden wurde und auch schon 3 versteckte Objekte:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 21. Oktober 2011 21:33

Es wird nach 3420231 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : GENKI-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.855 41827 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 11.10.2011 12:59:38
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.20 227024 Bytes 11.10.2011 12:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 08:54:31
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 09:12:22
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 11:16:18
VBASE019.VDF : 7.11.16.78 2048 Bytes 20.10.2011 11:16:18
VBASE020.VDF : 7.11.16.79 2048 Bytes 20.10.2011 11:16:18
VBASE021.VDF : 7.11.16.80 2048 Bytes 20.10.2011 11:16:18
VBASE022.VDF : 7.11.16.81 2048 Bytes 20.10.2011 11:16:18
VBASE023.VDF : 7.11.16.82 2048 Bytes 20.10.2011 11:16:18
VBASE024.VDF : 7.11.16.83 2048 Bytes 20.10.2011 11:16:18
VBASE025.VDF : 7.11.16.84 2048 Bytes 20.10.2011 11:16:18
VBASE026.VDF : 7.11.16.85 2048 Bytes 20.10.2011 11:16:18
VBASE027.VDF : 7.11.16.86 2048 Bytes 20.10.2011 11:16:18
VBASE028.VDF : 7.11.16.87 2048 Bytes 20.10.2011 11:16:18
VBASE029.VDF : 7.11.16.88 2048 Bytes 20.10.2011 11:16:18
VBASE030.VDF : 7.11.16.89 2048 Bytes 20.10.2011 11:16:18
VBASE031.VDF : 7.11.16.99 60928 Bytes 21.10.2011 11:16:18
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 11.10.2011 12:59:35
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 12.10.2011 11:41:59
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: C:\Program Files (x86)\Microsoft Games\Fable III\paul.dll, C:\Program Files (x86)\mIRC\mirc.exe, C:\Users\genki\Desktop\aequitas_1_04, C:\Users\genki\Desktop\aequitas_1_04\AequiAPI.dll,
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 21. Oktober 2011 21:33

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess '3341340.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'winsvc.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'SteamService.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'steam.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '181' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCU.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'XSrvSetup.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsNcService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCUService.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '56' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4759' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Windows\System32\consrv.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'G:\'


Ende des Suchlaufs: Freitag, 21. Oktober 2011 23:58
Benötigte Zeit: 2:24:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

44697 Verzeichnisse wurden überprüft
1112173 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1112172 Dateien ohne Befall
8446 Archive wurden durchsucht
0 Warnungen
4 Hinweise
677236 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden

Hier ein Avira Log wo dann fünf versteckte Objekte gefunden wurden. Wie gesagt, die Anzahl hat dann extremst variiert:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 22. Oktober 2011 20:17

Es wird nach 3421795 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : GENKI-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.855 41827 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 11.10.2011 12:59:38
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.20 227024 Bytes 11.10.2011 12:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 08:54:31
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 09:12:22
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 11:16:18
VBASE019.VDF : 7.11.16.78 2048 Bytes 20.10.2011 11:16:18
VBASE020.VDF : 7.11.16.79 2048 Bytes 20.10.2011 11:16:18
VBASE021.VDF : 7.11.16.80 2048 Bytes 20.10.2011 11:16:18
VBASE022.VDF : 7.11.16.81 2048 Bytes 20.10.2011 11:16:18
VBASE023.VDF : 7.11.16.82 2048 Bytes 20.10.2011 11:16:18
VBASE024.VDF : 7.11.16.83 2048 Bytes 20.10.2011 11:16:18
VBASE025.VDF : 7.11.16.84 2048 Bytes 20.10.2011 11:16:18
VBASE026.VDF : 7.11.16.85 2048 Bytes 20.10.2011 11:16:18
VBASE027.VDF : 7.11.16.86 2048 Bytes 20.10.2011 11:16:18
VBASE028.VDF : 7.11.16.87 2048 Bytes 20.10.2011 11:16:18
VBASE029.VDF : 7.11.16.88 2048 Bytes 20.10.2011 11:16:18
VBASE030.VDF : 7.11.16.89 2048 Bytes 20.10.2011 11:16:18
VBASE031.VDF : 7.11.16.106 86016 Bytes 21.10.2011 18:15:08
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 11.10.2011 12:59:35
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 12.10.2011 11:41:59
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: C:\Program Files (x86)\Microsoft Games\Fable III\paul.dll, C:\Program Files (x86)\mIRC\mirc.exe, C:\Users\genki\Desktop\aequitas_1_04, C:\Users\genki\Desktop\aequitas_1_04\AequiAPI.dll,
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 22. Oktober 2011 20:17

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Winlogon\Notifications\Components\TrustedInstaller\events
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Settings\Runtime\runtime hydravision caste constructor proctime
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCU.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'XSrvSetup.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsNcService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCUService.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '56' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4865' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'G:\'


Ende des Suchlaufs: Sonntag, 23. Oktober 2011 00:50
Benötigte Zeit: 4:32:43 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

40601 Verzeichnisse wurden überprüft
1162616 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1162616 Dateien ohne Befall
7306 Archive wurden durchsucht
0 Warnungen
5 Hinweise
677792 Objekte wurden beim Rootkitscan durchsucht
5 Versteckte Objekte wurden gefunden

Ich hoffe ich übertreibe es nciht, ich will nur verdeutlichen wie vorher infizierte bzw. versteckte Objekte da waren und beim nächsten Scan nicht mehr. Ich habe ich dann plötzlich 25 versteckte Objekte:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 23. Oktober 2011 19:12

Es wird nach 3421795 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : GENKI-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.855 41827 Bytes 12.10.2011 16:36:00
AVSCAN.EXE : 12.1.0.17 490448 Bytes 11.10.2011 12:59:38
AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58
LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38
AVREG.DLL : 12.1.0.20 227024 Bytes 11.10.2011 12:59:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 08:54:31
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 09:12:22
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 11:16:18
VBASE019.VDF : 7.11.16.78 2048 Bytes 20.10.2011 11:16:18
VBASE020.VDF : 7.11.16.79 2048 Bytes 20.10.2011 11:16:18
VBASE021.VDF : 7.11.16.80 2048 Bytes 20.10.2011 11:16:18
VBASE022.VDF : 7.11.16.81 2048 Bytes 20.10.2011 11:16:18
VBASE023.VDF : 7.11.16.82 2048 Bytes 20.10.2011 11:16:18
VBASE024.VDF : 7.11.16.83 2048 Bytes 20.10.2011 11:16:18
VBASE025.VDF : 7.11.16.84 2048 Bytes 20.10.2011 11:16:18
VBASE026.VDF : 7.11.16.85 2048 Bytes 20.10.2011 11:16:18
VBASE027.VDF : 7.11.16.86 2048 Bytes 20.10.2011 11:16:18
VBASE028.VDF : 7.11.16.87 2048 Bytes 20.10.2011 11:16:18
VBASE029.VDF : 7.11.16.88 2048 Bytes 20.10.2011 11:16:18
VBASE030.VDF : 7.11.16.89 2048 Bytes 20.10.2011 11:16:18
VBASE031.VDF : 7.11.16.106 86016 Bytes 21.10.2011 18:15:08
Engineversion : 8.2.6.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.09.2011 21:46:02
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 11.10.2011 12:59:35
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.10.11 684408 Bytes 22.09.2011 14:18:45
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 15.09.2011 23:17:25
AEHEUR.DLL : 8.1.2.180 3748217 Bytes 12.10.2011 11:41:59
AEHELP.DLL : 8.1.17.7 254327 Bytes 01.09.2011 21:46:01
AEGEN.DLL : 8.1.5.9 401780 Bytes 01.09.2011 21:46:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.23.0 196983 Bytes 01.09.2011 21:46:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, G:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: C:\Program Files (x86)\Microsoft Games\Fable III\paul.dll, C:\Program Files (x86)\mIRC\mirc.exe, C:\Users\genki\Desktop\aequitas_1_04, C:\Users\genki\Desktop\aequitas_1_04\AequiAPI.dll,
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 23. Oktober 2011 19:12

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\UMD\DXVA\di_method
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0020\Linkage\upperbind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{EDA4A7DF-59FF-4FD3-B242-04A9390776C0}\Connection\name
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\AppDomains\Communications.CCC.exe.CCC.4028\channelurl
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\AppDomains\Communications.CCC.exe.CCC.4028\processid
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\AppDomains\Communications.MOM.exe.MOM.2236\channelurl
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\AppDomains\Communications.MOM.exe.MOM.2236\processid
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Processes\2236\AppDomains\communications.mom.exe.mom.2236
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
MOM
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Processes\4028\AppDomains\communications.ccc.exe.ccc.4028
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
CCC
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.EXE
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Processes\4028\Services\hotkeysource
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Processes\4028\Services\aem
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Processes\4028\Services\component.runtime
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Processes\4028\Services\profilemanager
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Processes\4028\Services\runtime
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Processes\4028\Services\component.systemtray
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\ATI\ACE\Processes\4028\Services\systemtray
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts\c:\users\genki\appdata\roaming\microsoft\windows\start menu\programs\juniper networks\network connect 7.0.0\network connect.lnk
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts\c:\programdata\microsoft\windows\start menu\programs\juniper networks\network connect 7.0.0\network connect.lnk
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts\c:\users\genki\appdata\roaming\microsoft\windows\start menu\programs\juniper networks\network connect 7.0.0\nc troubleshooting.lnk
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-1780457554-1135152542-2547870671-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\NewShortcuts\c:\programdata\microsoft\windows\start menu\programs\juniper networks\network connect 7.0.0\nc troubleshooting.lnk
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'mbamservice.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCU.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'XSrvSetup.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'ESSVR.EXE' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsNcService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCUService.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '56' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4864' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'G:\'


Ende des Suchlaufs: Sonntag, 23. Oktober 2011 20:46
Benötigte Zeit: 1:34:26 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

40674 Verzeichnisse wurden überprüft
1162800 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1162800 Dateien ohne Befall
7301 Archive wurden durchsucht
0 Warnungen
25 Hinweise
678092 Objekte wurden beim Rootkitscan durchsucht
25 Versteckte Objekte wurden gefunden

Und was soll es jetzt sein? Neuinstallation oder Bereinigung?

Ich hatte mir erhofft, dass du mir jetzt noch was sagen kannst bzgl den ganzen Logs, ob da was herauszulesen war oder ob alles den Anschein hat, dass alles ok ist?
Also wenn ich nämlich bei meinem Laptop einen Avira Scan mache, dann tauchen da null versteckte Objekte auf :O

Edit:Mich macht das nur so stutzig, dass die Anzahl der versteckten Objekte so stark variiert.
Rein von meiner Erfahrung her würd ich sagen, dass die Backdoors wohl vorher da waren und der Trojanervll durch diesen Facebook Wurm drauf gekommen ist und jetzt vermutlich alles sauber ist, aber die versteckten Objekte machen mich stutzig, weil das doch auf Rootkits deutet oder nicht? Deswegen bin ich mir unsicher einfach und weil ich grad eher Intuitionen habe, als es zu wissen.
Um es besser auszudrücken, ich will natürlich lieber keine Neuinstallation machen und würd eher bereinigen und hoffen dass es keine Anzeichen gibt, dass da was übrig geblieben wäre.

Was bitte soll den alles ok gewesen sein? Dass da Funde (Backddors) bei waren sieht man ja.
Wirklich vertrauenswürdig wird das System nur durch Neuinstallation, es sei denn du willst nun doch bereinigen.


Wenn du jetzt wirklich eine Bereingung willst, bitte mit ESET weitermachen:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Tut mir leid, ich musste leider weg.
Hier die Log.txt von dem Eset:


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d8c820bd0a4879429ac4a9e35acac848
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-24 02:07:36
# local_time=2011-10-24 04:07:36 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1792 16777215 100 0 790335 790335 0 0
# compatibility_mode=5893 16776574 100 94 28711186 71089010 0 0
# compatibility_mode=8192 67108863 100 0 100 100 0 0
# scanned=278154
# found=0
# cleaned=0
# scan_time=6096

Die Hosts Datei Einträge sind eindeutige Hinweise auf Crackmissbrauch! :pfui:

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

Alles klar, wobei das doch einfach nur Einträge sind; kannst du mir dann noch sagen, ob ich ein Abbild von Acronis benutzen kann, was auf meinen Partitionen ist bzw. ob es reicht, wenn ich im Acronis Manager (das durch die Live-CD auftaucht) überprüfen lasse ob da eine Speicherveränderung oder irgendeine Veränderung stattgefunden hat? Ich meine mich erinnern zu können, dass das möglich ist. Dass sollte dann doch einem sagen, dass die iso-Datei des Abbilds nicht korrupt ist?
Kannst du mir eine Anleitung geben, wie ich den MBR checken kann, ob sich da was festgesetzt hat, nachdem ich das Abbild draufgespielet habe?

Sofern du das Image VOR der Infektion und VOR dem Crackmissbrauch erstellt hast, kannst du das noch nutzen.

Wirste beim Wiederherstellen schon merken. Wenn das Image korrupt ist, ist eine Wiederherstellung garnicht oder nur te. möglich.
Was meinst du mit ISO? eine ISO ist ein CD/DVD-Abbild und kein Acronisimage. Images von Acronis sind *.tib Dateien.

Ja da hast du natürlich Recht, es ist eine *.tib Datei, das war mein Fehler gewesen und ich habs einfach nur verwechselt.
Kannst du mir noch bitte eine Anleitung geben, wie ich den MBR checken/neuschreiben lassen kann, nachdem ich das Abbild draufgespielt habe oder auch davor, je nachdem, was besser ist.
Und das Abbild wurde davor erstellt, also ist es nicht infiziert.

Nach dem Restore aswMBR ausführen:


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Alles klar danke dafür, ich nehme an die aswMBR.txt Datei brauche ich dir dann nicht mehr zu posten und ich drück einfach auf Fix oder so.

Lies doch mal die Anleitung! :balla:

Naja ich dachte, dass du mir nicht mehr helfen willst, deswegen dachte ich, dass ich jetzt alleine dar stehe.
Dann befolge ich die Anleitung und poste die TXT-Datei dann noch. Ich dank dir!
Ahja, ich führe grad den Scan aus, aber ich hab noch nicht das Abbild drauf getan. Du meintest ja, dass ich erst nach dem Restore dieses aswMBR ausführen sollte oder?

ja so steht es doch da :D
Und das Zuückspielen kommt einem Neuaufsetzen gleich, bei sowas helf ich immer weiter. Und den MBR danach zu prüfen ist immer sinnvoll, er kann muss aber nicht infiziert sein.

Ok ok ^^ ich wollt nur sicher sein :)
Dann werd ich das Zurückspielen morgen machen und dann berichten.
Ich wollte demnach das Abbild draufspielen, und meine anderen Partitionen formatieren. Die Frage ist, ich würd gern einige Dateien sichern (Uni-Zeugs) und frag mich wie ich das überprüfen kann, ob die Dateien infiziert sind und sich dann der Virus nochmal ausbreitet, wenn ich später nach der Neuinstallation/dem Draufspielen die Dateien wieder auf die Festplatte kopiere.

100% Sicherheit gibt es nicht.
Beschränke dich auf persönliche Dateien, Musik, Bilder, Videos, Dokumente, etc aber KEINE Programme/Spiele/Setups oder Bestandteile davon.

Alles klar, dann nur das Uni Zeug, der Rest ist mir das Risiko dann nicht wert. Ich danke dir schonmal! Ihr seid echt ein gutes und hilfreiches Forum!!
Morgen melde ich mich dann wieder nachdem ich das Abbild draufgespielt habe.

Was für Dateitypen sind denn das?

Ich hab da ein paar Bilder/Fotos, Musik und programmier Projekte noch. Also die Projekte sind nicht so wichtig (hab Kopien, aber keine aktuellen natürlich), wobei ich die natürlich gern hätte, aber die Fotos würd ich gern mitnehmen, nur hab ich einfach Angst, dass da schon infizierte JPGs sind verstehst du? Ich will halt einfach nichts mitnehmen auf das saubere System dann (nach dem Restore), um nicht wieder infiziert zu werden.
Dateitypen: *.mp3, *.jpg/*.png und *.c

Videos, Bilder und Musik kannst du übernehmen :)

Hey Arne,

ich weiß dass es lange gedauert hat. Aber ich hab die Bereinigung/Formatierung (nur von der Windows-Partition) von der Live-CD von Acronis machen lassen und das hat ja Ewigkeiten gedauert oO
Jedenfalls wenn ich versuche das Abbild draufzuspielen, dann passiert das erstens extremst schnell oO, was mich gewundert hat und zweitens, wenn ich ein Neustart mache und ins Betriebssystem kommen will, dann kommt nur
"Loading Operating System ...

NTLDR is missing
Press Ctrl+Alt+Del to restart"

Ich muss sagen, dass ich mich etwas nicht zu recht gefunden habe in den Menüs von Acronis und bei der Wiederherstellung habe ich die system-reservierte Platte angeklickt und den MBR und wollte dann die Recovery machen. Um ehrlich zu sein, dachte ich, dass das Backup vll auch das MBR mit gespeichert hatte, falls das möglich ist. Aufjeden fall war das da genauso schnell und in null komma nix war alles fertig, aber derselbe Fehler kam, wenn ich versuchte das Betriebssystem zu starten. Habe danach dann nochmal probiert, aber diesmal ohne MBR anzuklicken und das Ergebnis habe ich vor dem Zitat beschrieben. Hat nichts geholfen.

Oder spinnt es nur, weil ich eine andere BIOS Version habe (also eine aktuellere als damals, wo ich das Abbild gemacht habe)? Mein Abbild ist von April 2010.

Normalerweise stellt Acronis den MBR korrekt und sauber wieder her. Bedienfehler auf deiner Seite? Ich hatte mit Acronis und anderen Programme aus diesem Genre nie Probleme.
Konsultiere vllt mal das Handbuch :pfeiff:

Alternative: Von Windows-DVD booten und die Bootprobleme beheben.

Lade dieses ISO-Image runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten)

Falls Du eine normale Win7-Installations-DVD (64-Bit) hast, brauchst Du das o.g. Image nicht sondern kannst einfach von der dieser DVD booten.

Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. Führe im normalen Windowsmodus MBRcheck bzw. aswmbr (je nachdem welches Tool ich dir vorhin aufgab) und wenn es geht GMER nochmals aus und poste die neuen Logs.

Hinweis: Zwischen bootrec.exe und /fixmbr bzw. /fixboot ist ein Leerzeichen!

Aber GMER soll man doch bei 64Bit Varianten gar nicht anwenden oder nicht? Zumindest hab ich das bei euch in den Anleitungen gelesen gehabt.
Ich hatte auch nie Probleme mit Acronis, aber jetzt will es irgendwie einfach nicht. Ich werd gleich ausprobieren, obs geklappt hat oder nicht (das mit DVD Booten etc.).

Grüße

edit: Hmm vll habe ich die falsche Größe angegeben und die Größe die das Abbild benötigt ist eine andere. Ich probiers nochmal, vll lag es wirklich einfach nur daran.

Nein, bei 64-Bit-Systemen nicht. Das muss ich noch in meinem Textbaustein berücksichtigen, danke für den Hinweis.

Hmm also wie gesagt, ich denke ja eigentlich nicht, dass es an mir liegt, dass da was falsch gelaufen ist.

Ich hab jetzt die Schritte befolgt die du mir gesagt hattest, mit bootec etc. und nun steht da folgendes:
"BOOTMGR is missing
Press Ctrl+Alt+Del to restart"

=/

Ich probier nochmal mit Acronis aus und gehe mal Schritt für Schritt durch und achte darauf, nicht irgendetwas falsches anzuklicken oder sonstwas. =/



Ich denke ich habe den Fehler entdeckt, wenn ich auf Recovery klicke und das Backup auswähle, dann wählt man aus, was für Elemente zur Wiederherstellung gebraucht werden sollen. Und ich sehe, dass da nur diese 100mb system-reserviert Sachen da stehen und sonst nichts. Keine primäre Partition, wo das Betriebssystem ist oder sonst was. Ich glaube Acronis stellt bei mir die ganze Zeit nur diese kleinen 100mb wieder her oO
Obwohl mein Backup ein Voll-Backup ist, also alles beinhalten sollte! Ich verstehe das nicht oO... denn das Betriebssystem sollte ja so um die 15GB sein und ich kann immer nur diese 100MB NTFS System-Reserviert Partition nehmen. Ich bin verwirrt!

Heut Morgen wollt ich mit der Recovery-CD, die du mir gegeben hast, versuchen zu formatieren, aber dann dachte ich mir, ich starte kurz das Betriebssystem neu. Nun bekam ich kein BOOTMGR is missing, sondern ich komm jetzt in den Windows-Start-Manager und da wird gesagt, dass ein Fehler beim Windows Start aufgetreten ist, was für eine Veränderung von Hardware oder Software hindeutet und ich mit der DVD auf "Computer Reparieren" klicken soll.
Jedenfalls steht da noch:

Status: 0xc000000f
Info: Fehler bei Startauswahl. Zugriff auf ein erfolrderliches Gerät nicht möglich.

Ach herrje :eek:

Diese 100MB-Partition allein bringt nichts! Wie groß sind deine Imagedateien?!

Also meine *.tib Datei ist 10015KB groß, OMG
Dann scheint die Backup-Datei von Acronis auch beschädigt worden zu sein, dann bleibt mir nichts anderes übrig als eine Formatierung und so =/
Weil ich weiß, dass meine *.tib Datei vorher um die 15GB groß war, +/- 2-3GB oder so. Naja da kann man dann wohl nichts machen oder?

Nö, dann ist nur diese 100MB Partition gesichert und der Rest futsch :(
Hast du keine älteren Images mehr?

Nein leider nicht. :(
Da bleibt mir ja nichts anderes übrig als neuzuinstallieren und alles vorher zu formatieren und so. =/

Wenn ich jetzt formatiere, dann wird der MBR auch neu geschrieben oder muss ich den manuell neuschreiben lassen?

Der MBR sollte normalweise bei einer manuellen Neuinstallation auch neugeschrieben werden.
Führe einfach aswMBR direkt aus wenn Windows neu drauf ist:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Tut mir leid, dass es solange gedauert hat. Ich führe jetzt den aswMBR aus und poste den Log.
Ich habe auch immernoch versteckte Objekte bei der Avira AntiVir Suche..
Ich hab im Log von Avira geguckt und er sagt nur, dass ein versteckter Treiber entdeckt wurde, der Speicherveränderungen gehabt hatte und dadurch ein unerlaubter Zugriff genommen werden kann.

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-08 16:41:14
-----------------------------
16:41:14.153 OS Version: Windows x64 6.1.7601 Service Pack 1
16:41:14.153 Number of processors: 4 586 0x403
16:41:14.153 ComputerName: GENKI-PC UserName: genki
16:41:14.668 Initialize success
16:42:21.265 AVAST engine defs: 11110801
16:42:47.738 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T1L0-7
16:42:47.753 Disk 0 Vendor: WDC_WD5000AAJS-00TKA0 12.01C01 Size: 476940MB BusType: 3
16:42:47.753 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP5T0L0-5
16:42:47.753 Disk 1 Vendor: WDC_WD5000AAJS-00YFA0 12.01C02 Size: 476940MB BusType: 3
16:42:47.769 Disk 0 MBR read successfully
16:42:47.769 Disk 0 MBR scan
16:42:47.785 Disk 0 Windows 7 default MBR code
16:42:47.785 Service scanning
16:42:49.719 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
16:42:50.671 Modules scanning
16:42:50.671 Disk 0 trace - called modules:
16:42:50.686 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80069e62c0]<<
16:42:50.702 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8007b17060]
16:42:50.702 3 CLASSPNP.SYS[fffff8800185143f] -> nt!IofCallDriver -> [0xfffffa800781be40]
16:42:50.702 5 ACPI.sys[fffff88000f327a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP4T1L0-7[0xfffffa8007858680]
16:42:50.702 \Driver\atapi[0xfffffa8007805d50] -> IRP_MJ_CREATE -> 0xfffffa80069e62c0
16:42:51.326 AVAST engine scan C:\Windows
16:42:52.652 AVAST engine scan C:\Windows\system32
16:44:00.919 AVAST engine scan C:\Windows\system32\drivers
16:44:06.410 AVAST engine scan C:\Users\genki
16:44:25.704 AVAST engine scan C:\ProgramData
16:44:29.402 Scan finished successfully
16:44:42.147 Disk 0 MBR has been saved successfully to "E:\X\MBR.dat"
16:44:42.147 The log file has been saved successfully to "E:\X\aswMBR.txt"

Der MBR ist ok

Und warum poppt dann immernoch bei dem Avira Scan, dass ich ein versteckten Treiber habe? Ich weiß, dass das nicht korrekt ist. Es sollte eher 0 versteckte Objekte mir anzeigen.

Was sollen solche Angaben? Ohne komplett Logs ist das sinnfrei.
Und man sollte auch nicht jede Meldung eines Virenscanners für bare Münze nehmen. Schonmal davon gehört, dass AntIVir sich einen Fehlalarm leisten kann? Und versteckt bedeutet nicht automatisch illegitim/schädlich.

Gut ich poste gleich einen Log, aber dennoch ist das unüblich. Ich habe keine Meldung bei Avira auf meinem Laptop, da kommt nichts mit verstecktem Treiber oder ähnlichem. Also finde ich das suspekt. Bei beiden benutze ich Windows 7, beim Laptop Home Premium und beim PC Professional. Wenns ein Fehlalarm wäre, würde der doch eigentlich auch aufm Laptop auftauchen, so meine Denkweise.
Ich hab auch nochmal den Malwarebytes' Anti Malware laufen gelassen, anscheinend nichts gefunden.

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 8. November 2011 16:48

Es wird nach 3493234 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : GENKI-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.861 41826 Bytes 19.10.2011 18:18:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 19.10.2011 15:55:49
AVSCAN.DLL : 12.1.0.17 65744 Bytes 19.10.2011 15:56:10
LUKE.DLL : 12.1.0.17 68304 Bytes 19.10.2011 15:55:59
AVSCPLR.DLL : 12.1.0.19 99536 Bytes 19.10.2011 15:55:49
AVREG.DLL : 12.1.0.22 226512 Bytes 19.10.2011 15:55:48
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:08:51
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 11:00:55
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 11:18:22
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 13:12:53
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 08:26:09
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 15:56:05
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 15:56:05
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 15:56:05
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 15:56:05
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 15:56:05
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 15:56:05
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 15:56:05
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 15:56:05
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 15:56:05
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 15:56:05
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 15:56:05
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 13:37:04
VBASE019.VDF : 7.11.16.112 162816 Bytes 24.10.2011 13:37:04
VBASE020.VDF : 7.11.16.150 167424 Bytes 26.10.2011 13:37:04
VBASE021.VDF : 7.11.16.187 171520 Bytes 28.10.2011 13:37:05
VBASE022.VDF : 7.11.16.209 190976 Bytes 31.10.2011 13:37:05
VBASE023.VDF : 7.11.16.243 158208 Bytes 02.11.2011 13:37:05
VBASE024.VDF : 7.11.17.21 194560 Bytes 06.11.2011 13:37:05
VBASE025.VDF : 7.11.17.22 2048 Bytes 06.11.2011 13:37:05
VBASE026.VDF : 7.11.17.23 2048 Bytes 06.11.2011 13:37:05
VBASE027.VDF : 7.11.17.24 2048 Bytes 06.11.2011 13:37:05
VBASE028.VDF : 7.11.17.25 2048 Bytes 06.11.2011 13:37:05
VBASE029.VDF : 7.11.17.26 2048 Bytes 06.11.2011 13:37:05
VBASE030.VDF : 7.11.17.27 2048 Bytes 06.11.2011 13:37:05
VBASE031.VDF : 7.11.17.82 106496 Bytes 08.11.2011 13:37:06
Engineversion : 8.2.6.108
AEVDF.DLL : 8.1.2.2 106868 Bytes 08.11.2011 13:37:08
AESCRIPT.DLL : 8.1.3.84 467324 Bytes 08.11.2011 13:37:08
AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 22:46:02
AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 22:46:02
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.13.3 684407 Bytes 08.11.2011 13:37:08
AEOFFICE.DLL : 8.1.2.19 201084 Bytes 08.11.2011 13:37:08
AEHEUR.DLL : 8.1.2.188 3801464 Bytes 08.11.2011 13:37:08
AEHELP.DLL : 8.1.18.0 254327 Bytes 08.11.2011 13:37:06
AEGEN.DLL : 8.1.5.13 405877 Bytes 08.11.2011 13:37:06
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.24.0 196983 Bytes 08.11.2011 13:37:06
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.17 223184 Bytes 19.10.2011 15:55:46
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 8. November 2011 16:48

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Treiber
[HINWEIS] Eine Speicherveränderung wurde entdeckt, die möglicherweise zur versteckten Dateizugriffen missbraucht werden könnte.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '181' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '151' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1178' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Dienstag, 8. November 2011 16:59
Benötigte Zeit: 11:26 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

16993 Verzeichnisse wurden überprüft
157922 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
157922 Dateien ohne Befall
828 Archive wurden durchsucht
0 Warnungen
1 Hinweise
360685 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8117

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

08.11.2011 19:58:13
mbam-log-2011-11-08 (19-58-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 241029
Laufzeit: 15 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Also ich kann mit der meldung nichts anfangen. Die ist au meiner Sicht völlig uninfirmativ. Das das was sein könnte, toll, dafür brauch ich keinen Virenscanner, der muss schon anzeigen welches Objekt da bemängelt wird.

Da du ja komplett neuinstalliert hast würde ich diese Meldung aber ignorieren.

Hm okay, ist zwar nicht schön, aber da kann man wohl nichts machen. Wenn einfach kein Programm anzeigt, was das Problem ist oder so. Hmm sehr komisch, ich hoffe mal Avira hat da Probleme gemacht.

Auch wenn die Frage irgendwie meistens unpassend ist, was für ein Antivirus Programm würdest du empfehlen, anstatt das Avira AntiVir Programm?

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Alles klar, ich danke dir für die Hilfe! :)