TAN Trojaner, smitfraud SCkeylogger und co.
 

Hallo zusammen,

hier gibt es schon einige Threads über die "TAN-Trojaner", aber ich muss da trotzdem nochmal was zu schreiben.

Gestern logge ich mich zum online banking ein und bekomme die allseits bekannte Aufforderung meine TAN Nummern einzutragen - hab ich natürlich nicht gemacht sondern direkt mein online banking sperren lassen.

Die Hotline sagte mir ich hätte mit absoluter Sicherheit einen Trojaner on board und sollte diesen finden und entfernen.

Also machte ich mich auf die Suche nach dem Trojaner, aber komischerweise befand Spybot mein System als sicher, und das, obwohl ich Namen wie smitfraud, Sckeylogger u.ä., virtumonde und allerlei casino.(dutzende Länder) mitlesen konnte.

Malwarebytes gratulierte mir ebenfalls zu meinem sauberen System.

Hijackthis bewertete alles als unbedenklich.

Frage 1 wäre dann also wie ich diese offenbar vorhandenen Trojaner bzw. andere Software sonst aufspüren kann wenn selbst SB und MWB nichts bösartiges erkennen?

Frage 2 wenn Software von meinem Rechner mit anderen Rechnern kommuniziert, wie kann ich das a) unterbinden, b) nachverfolgen wohin kommuniziert wird und c) Aktivitäten auf meinem Rechner (z.B. Portbelegung o.ä.) mitverfolgen?

LG Flo

Vista 32bit
Antivir

naja das spybot nichts erkennt ist nicht ungewöhnlich, die bringen doch nur 1 update pro woche.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide.

Ich habe den scan beendet und hier die Ergebnisse:

Leider kann ich die OTL nicht hochladen weil sie zu gross ist, also poste ich sie direkt, Extras hängt an.OTL Logfile:
--- --- ---

hi, wer nur unzureichend windows updatet, der muss sich nicht wundern.

• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (WinHttpAutoProxySvc) -- File not found
DRV - (pccsmcfd) -- C:\Windows\System32\DRIVERS\pccsmcfd.sys File not found
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (nmwcd) -- C:\Windows\System32\drivers\ccdcmb.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
O4 - HKLM..\Run: [RtHDVCpl] File not found
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] File not found
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] File not found
O4 - HKU\S-1-5-21-347040042-1275344231-3417501458-1001..\Run: [] File not found
O4 - HKU\S-1-5-21-347040042-1275344231-3417501458-1001..\Run: [fixmtify] C:\Users\xxxx\AppData\Local\Temp\MdReStub.DLL ()
O20 - HKLM Winlogon: Shell - (explorer.exe) - File not found
O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") - File not found
O29 - HKLM SecurityProviders - (credssp.dll) - File not found
O33 - MountPoints2\{3cdf1917-db70-11de-9f34-806e6f6e6963}\Shell\AutoRun\command - "" = E:\start.exe -- File not found
O33 - MountPoints2\{bb3caa2d-9570-11df-af28-00a0c6000000}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe -- File not found
MsConfig - StartUpReg: FlashPlayerUpdate - hkey= - key= - File not found
MsConfig - StartUpReg: Uninstall Adobe Download Manager - hkey= - key= - File not found
:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

... ich bin vorgegangen wie beschrieben, die einzige Textdatei die ich unter diesem Pfad finde besagt:

All processes killed
Error: Unable to interpret <SRV - (WinHttpAutoProxySvc) -- File not found> in the current context!
Error: Unable to interpret <DRV - (pccsmcfd) -- C:\Windows\System32\DRIVERS\pccsmcfd.sys File not found> in the current context!
Error: Unable to interpret <DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found> in the current context!
Error: Unable to interpret <DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found> in the current context!
Error: Unable to interpret <DRV - (nmwcd) -- C:\Windows\System32\drivers\ccdcmb.sys File not found> in the current context!
Error: Unable to interpret <DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found> in the current context!
Error: Unable to interpret <O4 - HKLM..\Run: [RtHDVCpl] File not found> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] File not found> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] File not found> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-347040042-1275344231-3417501458-1001..\Run: [] File not found> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-347040042-1275344231-3417501458-1001..\Run: [fixmtify] C:\Users\xxxx\AppData\Local\Temp\MdReStub.DLL ()> in the current context!
Error: Unable to interpret <O20 - HKLM Winlogon: Shell - (explorer.exe) - File not found> in the current context!
Error: Unable to interpret <O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") - File not found> in the current context!
Error: Unable to interpret <O29 - HKLM SecurityProviders - (credssp.dll) - File not found> in the current context!
Error: Unable to interpret <O33 - MountPoints2\{3cdf1917-db70-11de-9f34-806e6f6e6963}\Shell\AutoRun\command - "" = E:\start.exe -- File not found> in the current context!
Error: Unable to interpret <O33 - MountPoints2\{bb3caa2d-9570-11df-af28-00a0c6000000}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe -- File not found> in the current context!
Error: Unable to interpret <MsConfig - StartUpReg: FlashPlayerUpdate - hkey= - key= - File not found> in the current context!
Error: Unable to interpret <MsConfig - StartUpReg: Uninstall Adobe Download Manager - hkey= - key= - File not found> in the current context!
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 41620 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: xxxx
->Flash cache emptied: 645 bytes

User: Public

User: xxxx
->Flash cache emptied: 33022 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: xxxx
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 25758671 bytes
->FireFox cache emptied: 31788118 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: xxxx
->Temp folder emptied: 65686188 bytes
->Temporary Internet Files folder emptied: 98438 bytes
->Java cache emptied: 1 bytes
->FireFox cache emptied: 42887375 bytes
->Opera cache emptied: 48749 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 197208036 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 347,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 09222010_205432

Was genau habe ich da in die Textbox eingefügt bzw. was für Prozesse wurden gekillt - damit ich auch nachvollziehen kann was ich da gerade gemacht habe.

Ich habe nach dem Neustart übrigens die Fehlermeldung erhalten: "Fehler beim laden von C: Users/xxxx/AppData/local/temp/MdRe.Stub.dll Das angegebene Modul wurde nicht gefunden" ... was kann das gewesen sein?

Und vielen Dank schon mal bis hierhin :-)

hast du ab :OTL
kopiert? bitte mach das noch mal, scheint nicht richtig geklappt zu haben.

Ich glaube das : OTL habe ich gestern nicht mitkopiert, hier nun das Resultat:

All processes killed
========== OTL ==========
Service WinHttpAutoProxySvc stopped successfully!
Service WinHttpAutoProxySvc deleted successfully!
File File not found not found.
Service pccsmcfd stopped successfully!
Service pccsmcfd deleted successfully!
File C:\Windows\System32\DRIVERS\pccsmcfd.sys File not found not found.
Service NwlnkFwd stopped successfully!
Service NwlnkFwd deleted successfully!
File C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found not found.
Service NwlnkFlt stopped successfully!
Service NwlnkFlt deleted successfully!
File C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found not found.
Service nmwcd stopped successfully!
Service nmwcd deleted successfully!
File C:\Windows\System32\drivers\ccdcmb.sys File not found not found.
Service IpInIp stopped successfully!
Service IpInIp deleted successfully!
File C:\Windows\System32\DRIVERS\ipinip.sys File not found not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\RtHDVCpl deleted successfully.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run\\WindowsWelcomeCenter deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run\\WindowsWelcomeCenter deleted successfully.
Registry value HKEY_USERS\S-1-5-21-347040042-1275344231-3417501458-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-347040042-1275344231-3417501458-1001\Software\Microsoft\Windows\CurrentVersion\Run\\fixmtify deleted successfully.
File C:\Users\xxxx\AppData\Local\Temp\MdReStub.DLL not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:explorer.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:Control_RunDLL "sysdm.cpl" deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\\SecurityProviders:credssp.dll deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3cdf1917-db70-11de-9f34-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3cdf1917-db70-11de-9f34-806e6f6e6963}\ not found.
File E:\start.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb3caa2d-9570-11df-af28-00a0c6000000}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bb3caa2d-9570-11df-af28-00a0c6000000}\ not found.
File F:\setup_vmc_lite.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\FlashPlayerUpdate\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\Uninstall Adobe Download Manager\ not found.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: xxxx
->Flash cache emptied: 0 bytes

User: Public

User: xxxx
->Flash cache emptied: 427 bytes

Total Flash Files Cleaned = 0,00 mb

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Ich habe nun also combofix nach Anleitung scannen lassen, siehe Anhang.

Auf Stufe 5 kam die Meldung, das das Programm PEV.exe nicht mehr funktioniere, kann ich davon ausgehen, dass dies der Trojaner war?

eine exe von combofix war es
lad den ccleaner, dateien + registry bereinigen
http://www.trojaner-board.de/51464-a...-ccleaner.html
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Den CCleaner nutze ich bereits regelmässig und die Avira Konfiguration war bis auf die Erkennungsstufe (war mittel) Punkte bereits so konfiguriert (ich glaube es war eine Empfehlung von chip.de oder so), update habe ich bereits gemacht, Quarantäne ist leer, keine Viren gefunden.

Ich habe mittlerweile das Sp2 installiert.

Wie es ausschaut bin ich dann also vom Trojaner befreit?

Doppelposting, deshalb einen Beitrag gelöscht!!!

bitte aktiviere:
Integritätsprüfung von Systemdateien..: aus
und scanne erneut.
berichte außerdem wie der pc läuft.

Was meinst du genau mit "wie der PC läuft"?
Ist übrigens ein Laptop, und so gesehen habe ich nichts ungewöhnliches bemerkt, weder schneller noch langsamer, kein Unterschied zu vorher und bevor ich vermutlich den Trojaner hatte.

Was mich an dem ganzen natürlich noch interessieren würde, wären die Schritte die ich machen sollte, zu meinem Verständnis der Abläufe wäre es für die Zukunft hilfreich wenn ich weiss was ich da eigentlich die ganze Zeit scanne und was der geforderte erneute scan zeigen kann.

Wenn du mir da bitte den bisherigen Ablauf in Stichworten verdeutlichen könntest :-)

LG Flo

also es ist natürlich nie auf alle pcs übertragbar, ich suche unbekannte oder mir als malware bekannte dateien und wähle dann dem entsprechend die schritte aus, der neue scan prüft die digitale signatur von wichtigen systemdateien falls sie geendert wurden wird uns das angezeigt werden.

Ah ok dank dir für die Erklärung, ich starte jetzt mal den scan und poste dann das Ergebnis hierher.

Die Integritätsprüfung von Systemdateien ist beim letzten scan schon aus gewesen seh ich grad.

Ich habe nochmal gmer.exe und das Windowstool zum enfernen bösartiger Software rüberlaufen lassen, beide ohne Ergebnis, jetzt weiss ich auch nicht mehr weiter, ebensowenig ob ich den Trojaner noch an Bord habe.
Hat noch jemand eine Idee bevor ich den Rechner Neuaufsetze?

naja eben deswegen sollst du die aktivieren, also einschalten!
danach nutze den ccleaner:
http://www.trojaner-board.de/51464-a...-ccleaner.html
bereinige dateien + registry. dann extras, liste der instalierten programme, als text abspeichern, das dokument öffnen, hinter benötigte programme schreibe nötig, hinter unnötige, unnötig und hinter unbekannte, unbekannt, poste die liste.

ach so *grins* hab es dann falsch interpretiert

werds mal scannen dann

Hier das Ergebnis:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 24. September 2010 14:21

Es wird nach 2871677 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : xxxx

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:09:02
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 13:40:38
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 13:41:10
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 05:57:37
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 05:57:37
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 05:57:37
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 05:57:37
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 05:57:37
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 05:57:37
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 08:13:46
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 09:31:53
VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 16:14:56
VBASE017.VDF : 7.10.12.5 2048 Bytes 23.09.2010 16:14:56
VBASE018.VDF : 7.10.12.6 2048 Bytes 23.09.2010 16:14:57
VBASE019.VDF : 7.10.12.7 2048 Bytes 23.09.2010 16:14:57
VBASE020.VDF : 7.10.12.8 2048 Bytes 23.09.2010 16:14:57
VBASE021.VDF : 7.10.12.9 2048 Bytes 23.09.2010 16:14:57
VBASE022.VDF : 7.10.12.10 2048 Bytes 23.09.2010 16:14:57
VBASE023.VDF : 7.10.12.11 2048 Bytes 23.09.2010 16:14:57
VBASE024.VDF : 7.10.12.12 2048 Bytes 23.09.2010 16:14:57
VBASE025.VDF : 7.10.12.13 2048 Bytes 23.09.2010 16:14:57
VBASE026.VDF : 7.10.12.14 2048 Bytes 23.09.2010 16:14:57
VBASE027.VDF : 7.10.12.15 2048 Bytes 23.09.2010 16:14:57
VBASE028.VDF : 7.10.12.16 2048 Bytes 23.09.2010 16:14:57
VBASE029.VDF : 7.10.12.17 2048 Bytes 23.09.2010 16:14:57
VBASE030.VDF : 7.10.12.18 2048 Bytes 23.09.2010 16:14:57
VBASE031.VDF : 7.10.12.22 19968 Bytes 23.09.2010 16:14:57
Engineversion : 8.2.4.60
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 10:31:37
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 21.09.2010 08:13:52
AESCN.DLL : 8.1.6.1 127347 Bytes 20.05.2010 05:58:14
AESBX.DLL : 8.1.3.1 254324 Bytes 05.05.2010 10:41:16
AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 09:31:56
AEPACK.DLL : 8.2.3.7 471413 Bytes 21.09.2010 08:13:51
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 27.07.2010 13:41:33
AEHEUR.DLL : 8.1.2.26 2916727 Bytes 21.09.2010 08:13:50
AEHELP.DLL : 8.1.13.3 242038 Bytes 27.08.2010 06:54:30
AEGEN.DLL : 8.1.3.22 401780 Bytes 21.09.2010 08:13:49
AEEMU.DLL : 8.1.2.0 393588 Bytes 05.05.2010 10:41:14
AECORE.DLL : 8.1.16.2 192887 Bytes 27.07.2010 13:41:19
AEBB.DLL : 8.1.1.0 53618 Bytes 05.05.2010 10:41:14
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Freitag, 24. September 2010 14:21

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\sndvol.exe
c:\Windows\System32\SndVol.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\system32\sndvol.exe

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.EXE' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '139' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '335' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Freitag, 24. September 2010 15:39
Benötigte Zeit: 1:18:00 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

20501 Verzeichnisse wurden überprüft
581523 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
581523 Dateien ohne Befall
3201 Archive wurden durchsucht
0 Warnungen
0 Hinweise
408824 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

ok
Free ESET Online Antivirus Scanner
bitte ausführen, ergebniss posten.

Kann ich den direkt laufen lasen oder muss ich vorher Antivir etc. deaktivieren?

avira ausschalten und alles wassonst so läuft. außer internet natürlich

hmmm ich weiss nicht was hier los ist, aber meine maschine ist auf einmal xtrem langsam geworden, CPU Auslastung bei 87%, Opera und IE lassen sich gar nicht mehr starten, und die allermeisten anderen Programme auch nicht, ich denke das sinnvollste ist momentan den Rechner komplett neu aufzusetzen.
Vielen Dank aber für eure Hilfe :)

sag bescheid wenn du damit fertig bist und wir sichern ihn dann ordentlich ab.