Avira Support Forum

Ich habe auch die Mail von sue.warner.tbconnect.com bekommen und danach eine vollständige Systemprüfung durchgeführt: 4 Funde TR/Matsnu.A.56 und 64 versteckte Dateien. Die 4 Funde habe ich in Quaratäne verschoben, aber es sind noch 64 versteckte Dateien vorhanden bzw. bei einem gerade durchgeführten nochmaligen Scan 92 versteckte Dateien. Was soll ich tun?

Quoted from "moreikiju"

Was soll ich tun?

Den kompletten Fundbericht hier posten. Zu den 64 und mehr versteckten Threads:

64 versteckte Objekte unter Windows 7 64Bit seit 17.4.2012

1. Suchlauf
Avira Antivirus Premium 2012
Erstellungsdatum der Reportdatei: Dienstag, 1. Mai 2012 22:47

Es wird nach 3729080 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Versionsinformationen:
BUILD.DAT : 12.0.0.915 42648 Bytes 31.01.2012 13:20:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 10:38:25
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 10:38:24
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 10:38:25
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 10:38:25
AVREG.DLL : 12.1.0.36 229128 Bytes 05.04.2012 15:31:06
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:35:09
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 08:35:28
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 16:00:10
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 08:35:57
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 07:25:36
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 07:25:37
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 07:25:37
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 07:25:37
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 07:25:37
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 07:25:37
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 07:25:37
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 07:25:37
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 07:25:37
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 07:25:37
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 13:24:00
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 13:38:39
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 07:43:12
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 16:36:50
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 09:44:33
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 19:25:15
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 13:12:21
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 10:12:54
VBASE022.VDF : 7.11.28.49 193536 Bytes 20.04.2012 07:26:53
VBASE023.VDF : 7.11.28.99 195072 Bytes 23.04.2012 20:18:12
VBASE024.VDF : 7.11.28.133 247808 Bytes 24.04.2012 21:03:43
VBASE025.VDF : 7.11.28.183 186880 Bytes 26.04.2012 12:58:42
VBASE026.VDF : 7.11.28.235 166400 Bytes 30.04.2012 12:25:38
VBASE027.VDF : 7.11.28.236 2048 Bytes 30.04.2012 12:25:38
VBASE028.VDF : 7.11.28.237 2048 Bytes 30.04.2012 12:25:38
VBASE029.VDF : 7.11.28.238 2048 Bytes 30.04.2012 12:25:38
VBASE030.VDF : 7.11.28.239 2048 Bytes 30.04.2012 12:25:38
VBASE031.VDF : 7.11.29.0 88576 Bytes 01.05.2012 10:51:10
Engineversion : 8.2.10.58
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 13:54:11
AESCRIPT.DLL : 8.1.4.18 455034 Bytes 26.04.2012 21:03:20
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 07:55:14
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 11:12:23
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 06:13:27
AEPACK.DLL : 8.2.16.9 807287 Bytes 02.04.2012 07:21:03
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 26.04.2012 21:03:19
AEHEUR.DLL : 8.1.4.21 4682102 Bytes 26.04.2012 21:03:19
AEHELP.DLL : 8.1.20.0 254326 Bytes 26.04.2012 21:03:13
AEGEN.DLL : 8.1.5.28 422260 Bytes 26.04.2012 21:03:13
AEEXP.DLL : 8.1.0.33 82293 Bytes 26.04.2012 21:03:20
AEEMU.DLL : 8.1.3.0 393589 Bytes 15.04.2011 08:35:36
AECORE.DLL : 8.1.25.6 201078 Bytes 16.03.2012 08:26:20
AEBB.DLL : 8.1.1.0 53618 Bytes 15.04.2011 08:35:35
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 21:25:18
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 21:25:59
AVREP.DLL : 12.1.0.17 179920 Bytes 11.10.2011 21:27:29
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 10:38:24
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 21:25:46
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 21:27:01
AVSMTP.DLL : 12.1.0.17 63440 Bytes 11.10.2011 21:26:03
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 21:26:45
RCIMAGE.DLL : 12.1.0.17 4491472 Bytes 11.10.2011 21:25:21
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 21:25:21

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 1. Mai 2012 22:47

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.
Versteckter Thread
[HINWEIS] Ein Systemthread ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDKCOMServer.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'btplayerctrl.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SbHpAuthenticatorService.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'coreshredder.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPAdvisor.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'DPAgent.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'uArcCapture.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdisrvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdfsvc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpHotkeyMonitor.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPDrvMntSvc.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPDayStarterService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'PTChangeFilterService.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'afcdpsrv.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'HpFkCrypt.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPFSService.exe' - '21' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '715' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Roos\AppData\Local\Temp\NZ0ywJ_j.zip.part
[0] Archivtyp: ZIP
--> Rechnung.exe
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.56
C:\Users\Roos\AppData\Local\Temp\qccthfpz.zip.part
[0] Archivtyp: ZIP
--> Rechnung.exe
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.56
C:\Users\Roos\AppData\Local\Temp\QzP_ZTer.zip.part
[0] Archivtyp: ZIP
--> Rechnung.exe
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.56
C:\Users\Roos\AppData\Local\Temp\WIFAKODS.zip.part
[0] Archivtyp: ZIP
--> Rechnung.exe
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.56
Beginne mit der Suche in 'F:\' <HP_TOOLS>

Beginne mit der Desinfektion:
C:\Users\Roos\AppData\Local\Temp\WIFAKODS.zip.part
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485ec897.qua' verschoben!
C:\Users\Roos\AppData\Local\Temp\QzP_ZTer.zip.part
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50dfe761.qua' verschoben!
C:\Users\Roos\AppData\Local\Temp\qccthfpz.zip.part
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d73bdb2.qua' verschoben!
C:\Users\Roos\AppData\Local\Temp\NZ0ywJ_j.zip.part
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.56
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6497f26b.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 2. Mai 2012 00:43
Benötigte Zeit: 1:54:18 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

39169 Verzeichnisse wurden überprüft
922513 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
922509 Dateien ohne Befall
8647 Archive wurden durchsucht
0 Warnungen
68 Hinweise
707503 Objekte wurden beim Rootkitscan durchsucht
64 Versteckte Objekte wurden gefunden

Tja was da wohl in dieser Rechnung.exe drin ist .

Gut das AV eingeschritten ist - von wo wolltest du denn diesen Anhang speichern bzw. wurde er schon geöffnet?

Malwarebytes Anti - Malware
bitte von hier downloaden : http://www.majorgeeks.com

Nix anderes anklicken !!! Download startet automatisch !!!!

Starte das Programm - bitte unbedingt beachten unter Vista und Windows 7 als Administrator auszuführen !!!
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Starte den Vollständigen Suchlauf
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Dann show results
1.die bitte hier ins Forum posten