You are not logged in.

Monday, July 28th 2014, 10:17am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

1

Wednesday, July 21st 2010, 10:25pm

HEUR/ELF.Malformed

Guten Abend,

ich hatte die letzten Tage vermehrt Probleme mit Viren und heute ist bei mir der Trojaner "Dropper.Gen" aufgetaucht. Aus diesem Grund habe ich mich etwas in diesem Forum umgesehen und User mit ähnlichen Problemen gefunden. Aus diesem Grund habe ich dasselbe getan, was Nightwing dem User "allblack" empfohlen hat:

Suchlauf 1. Scan

Danach unter Lokaler Schutz - Prüfen *Lokale Laufwerke* markieren. Dann *Lokale Laufwerke* markiert halten und oben links auf die Lupe zum Start des Scans drücken (unter Vista die rechte Lupe mit dem Admin - Symbol). Scanbericht bitte dann hier posten.

Rootkitsuche 2. Scan

Danach bitte noch einen 2. Scan - diesmal unter Lokaler Schutz - Prüfen Suche nach Rootkits und aktiver Malware auswählen. Bitte auf die Frage am Schluß des Scans, ob noch ein Scan über die Laufwerke durchgeführt werden soll mit „Nein“ antworten.


Die Ergebnisse findet ihr weiter unten. Gefunden wurde der Fehler "HEUR/ELF.Malformed". Meine Frage ist nun, ob ich mein System neu aufsetzen muss, oder man noch etwas machen kann? Und muss ich, wenn alles erledigt ist, meine Passwörter ändern und eventuell meine Bank informieren? Besten Dank im Voraus!

Hier die Ergebnisse der beiden Scans:

1. Scan:

vira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 21. Juli 2010 21:36

Es wird nach 2426173 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet


Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 22.04.2010 19:20:14
AVSCAN.DLL : 10.0.3.0 56168 Bytes 22.04.2010 19:20:14
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:01:57
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:01:57
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 21:56:33
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 22:23:07
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:07:48
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:59:26
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 22:47:39
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 22:47:39
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 22:47:39
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 22:47:39
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 22:47:39
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 22:47:39
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 22:47:39
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 19:08:59
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:59:56
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:59:56
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 18:58:09
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 18:58:11
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 19:45:02
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 19:45:02
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 09:28:29
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 09:28:30
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 09:27:26
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 14:12:59
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 14:36:27
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 10:35:09
VBASE026.VDF : 7.10.9.133 630784 Bytes 20.07.2010 14:32:37
VBASE027.VDF : 7.10.9.141 421376 Bytes 21.07.2010 14:32:45
VBASE028.VDF : 7.10.9.142 2048 Bytes 21.07.2010 14:32:45
VBASE029.VDF : 7.10.9.143 2048 Bytes 21.07.2010 14:32:45
VBASE030.VDF : 7.10.9.144 2048 Bytes 21.07.2010 14:32:45
VBASE031.VDF : 7.10.9.146 2048 Bytes 21.07.2010 14:32:45
Engineversion : 8.2.4.22
AEVDF.DLL : 8.1.2.0 106868 Bytes 25.04.2010 07:47:47
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21.07.2010 14:33:10
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 18:13:48
AESBX.DLL : 8.1.3.1 254324 Bytes 25.04.2010 07:47:47
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 14:33:06
AEPACK.DLL : 8.2.3.2 471414 Bytes 21.07.2010 14:33:03
AEOFFICE.DLL : 8.1.1.7 201081 Bytes 21.07.2010 14:33:01
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21.07.2010 14:33:00
AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 14:32:49
AEGEN.DLL : 8.1.3.15 385396 Bytes 21.07.2010 14:32:48
AEEMU.DLL : 8.1.2.0 393588 Bytes 25.04.2010 07:47:46
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 14:32:46
AEBB.DLL : 8.1.1.0 53618 Bytes 25.04.2010 07:47:46
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 22.04.2010 19:20:14
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 22.04.2010 19:20:14
AVARKT.DLL : 10.0.0.14 227176 Bytes 22.04.2010 19:20:13
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 22.04.2010 19:20:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: ignorieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, G:, H:, I:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Mittwoch, 21. Juli 2010 21:36

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[INFO] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1755' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Program Files\Newspaper Chase CD-ROM\Penguin_Linux
[FUND] Enthält verdächtigen Code: HEUR/ELF.Malformed
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c5e7c4.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Mittwoch, 21. Juli 2010 22:14
Benötigte Zeit: 38:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

25700 Verzeichnisse wurden überprüft
408331 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
408330 Dateien ohne Befall
6806 Archive wurden durchsucht
0 Warnungen
1 Hinweise
127185 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

This post has been edited 1 times, last edit by "Ghuzdan" (Jul 21st 2010, 10:35pm)


  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

2

Wednesday, July 21st 2010, 10:25pm

2. Scan:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 21. Juli 2010 21:11

Es wird nach 2426173 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet


Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 22.04.2010 19:20:14
AVSCAN.DLL : 10.0.3.0 56168 Bytes 22.04.2010 19:20:14
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:01:57
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:01:57
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 21:56:33
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 22:23:07
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:07:48
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:59:26
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 22:47:39
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 22:47:39
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 22:47:39
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 22:47:39
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 22:47:39
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 22:47:39
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 22:47:39
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 19:08:59
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:59:56
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:59:56
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 18:58:09
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 18:58:11
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 19:45:02
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 19:45:02
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 09:28:29
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 09:28:30
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 09:27:26
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 14:12:59
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 14:36:27
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 10:35:09
VBASE026.VDF : 7.10.9.133 630784 Bytes 20.07.2010 14:32:37
VBASE027.VDF : 7.10.9.141 421376 Bytes 21.07.2010 14:32:45
VBASE028.VDF : 7.10.9.142 2048 Bytes 21.07.2010 14:32:45
VBASE029.VDF : 7.10.9.143 2048 Bytes 21.07.2010 14:32:45
VBASE030.VDF : 7.10.9.144 2048 Bytes 21.07.2010 14:32:45
VBASE031.VDF : 7.10.9.146 2048 Bytes 21.07.2010 14:32:45
Engineversion : 8.2.4.22
AEVDF.DLL : 8.1.2.0 106868 Bytes 25.04.2010 07:47:47
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21.07.2010 14:33:10
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 18:13:48
AESBX.DLL : 8.1.3.1 254324 Bytes 25.04.2010 07:47:47
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 14:33:06
AEPACK.DLL : 8.2.3.2 471414 Bytes 21.07.2010 14:33:03
AEOFFICE.DLL : 8.1.1.7 201081 Bytes 21.07.2010 14:33:01
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21.07.2010 14:33:00
AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 14:32:49
AEGEN.DLL : 8.1.3.15 385396 Bytes 21.07.2010 14:32:48
AEEMU.DLL : 8.1.2.0 393588 Bytes 25.04.2010 07:47:46
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 14:32:46
AEBB.DLL : 8.1.1.0 53618 Bytes 25.04.2010 07:47:46
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 22.04.2010 19:20:14
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 22.04.2010 19:20:14
AVARKT.DLL : 10.0.0.14 227176 Bytes 22.04.2010 19:20:13
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 22.04.2010 19:20:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Mittwoch, 21. Juli 2010 21:11

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'consent.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht


Ende des Suchlaufs: Mittwoch, 21. Juli 2010 21:30
Benötigte Zeit: 18:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
2745 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2745 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
575080 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

This post has been edited 1 times, last edit by "Ghuzdan" (Jul 21st 2010, 10:36pm)


3

Thursday, July 22nd 2010, 7:57am

Das sieht mir nicht gefährlich aus - wie groß ist denn betreffendes file ? Bitte umgehend Vista mit dem Servicepack 2 ausrüsten und Internetexplorer auf Version 8 upgraden, wenn noch nicht geschehen.

  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

4

Thursday, July 22nd 2010, 8:13am

Guten Morgen!

Das betreffende File hat:

Größe: 1008 Bytes (1.008 Bytes)
Größe auf Datenträger: 4,00 KB (4.096 Bytes).

Den Vista Servicepack 2 hab ich wohl tatsächlich verschlafen. Als Browser verwende ich allerdings immer die neueste Version von entweder Mozilla oder Opera.

EDIT: Würde es mir den Servicepack 2 nicht automatisch melden, wenn ich regelmäßig Windows Updates mache?

This post has been edited 1 times, last edit by "Ghuzdan" (Jul 22nd 2010, 8:15am)


5

Thursday, July 22nd 2010, 8:21am

Nein macht es leider nicht - der Internetexplorer muss auch immer aktuell sein, da Systembestandteil.

Bitte die Datei über das Webformular (link in meiner Signatur) zu Avira einsenden und im Webformular Verdacht auf Fehlalarm eingeben. Die Antwort bitte posten.

  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

6

Thursday, July 22nd 2010, 8:33am

Vielen herzlichen Dank erstmal! Ich installiere jetzt einmal den Servicepack 2 und update den Explorer.

Ich habe aber bezüglich dem File einen Fehler gemacht, auf meiner Festplatte findet sich das File ausschließlich unter dem Pfad:

C:\Program Files\Newspaper Chase CD-ROM.

Es findet bei mir also nichts mit dem Namen:

C:\Program Files\Newspaper Chase CD-ROM\Penguin_Linux

Bitte entschuldige meinen anfänglichen Fehler!

EDIT: Kurz vor der Installation des Servicepacks haben mich zwei "TR/Rootkit.Gen2' [trojan]" angegriffen, die von Antivir aber abgewehrt wurden. Nur habe ich jetzt natürlich Angst, das Antiviren Programm während der Installation zu deaktivieren. Hier scheint doch eine gröbere Sache im Argen zu liegen, sollte ich nicht vielleicht den PC neu aufsetzen?

This post has been edited 1 times, last edit by "Ghuzdan" (Jul 22nd 2010, 8:55am)


7

Thursday, July 22nd 2010, 1:43pm

Kannst du mal unter Ereignisse/Berichte schauen welche Dateien von diesen Rootkit.gen betroffen waren? Den Upload kannst du trotzdem machen.

This post has been edited 1 times, last edit by "Nighthawk" (Jul 22nd 2010, 1:43pm)


  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

8

Thursday, July 22nd 2010, 1:52pm

Betroffen waren folgende Dateien:

In der Datei 'C:\Windows\winsxs\Temp\PendingRenames\d53f242a6a29cb019f1900009c045406.x86_microsoft-windows-gdi_31bf3856ad364e35_6.0.6002.18262_none_ab7ab4ea57db7e87_atmfd.dll_ff796bf0'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Windows\winsxs\Temp\PendingRenames\d5a858146a29cb01651900009c045406.x86_microsoft-windows-gdi_31bf3856ad364e35_6.0.6002.18262_none_ab7ab4ea57db7e87_atmfd.dll_ff796bf0'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Den Serviepack 2 hab ich inzwischen installiert, hab mich einfach vom Internet getrennt während der Installation. Die Datei habe ich AntiVir nicht schicken können, weil sie eben auf meinem PC nicht zu finden ist.

9

Thursday, July 22nd 2010, 2:01pm

Diese Rootkit.gen sehen mir nach Fehlalarmen aus. Die Datei kannst du einschicken - hast sie doch in Quarantäne - schau mal hier:

C:\PROGRAMDATA\AVIRA\ANTIVIR DESKTOP\INFECTED

Vorher Ordneroptionen so einstellen:

. "Erweiterungen bei bekannten Dateitypen ausblenden" -> Häkchen entfernen
. "Geschützte Systemdateien ausblenden" -> Häkchen entfernen
. "Inhalte von Systemordnern anzeigen" -> Häkchen setzen
. "Versteckte Dateien und Ordner" -> "Alle Dateien und Ordner anzeigen" -> Punkt setzen

  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

10

Thursday, July 22nd 2010, 2:09pm

Wenn ich "Geschützte Systemdateien ausblenden -> Häkchen entfernen" machen will, kommt bei mir eine Warnung, dass Windows dann bei einem Neustart möglicherweise nicht mehr richtig funktioniert.

"Inhalte von Systemordnern anzeigen" kann ich gar nicht finden.

Tut mir sehr leid, wenn ich dir hier zusätzlich Arbeit und Probleme mache!

  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

12

Thursday, July 22nd 2010, 2:48pm

Alles klar! Ordner gefunden, Datei auch. Gerade mehrmals versucht mithilfe deines Webformulars einzusenden, aber das funktioniert nicht, weil die Datei 13,5 MB groß ist. :)

13

Thursday, July 22nd 2010, 3:04pm

Ahh ok. Lässt sie sich noch mittels winrar unter 8 MB komprimieren? Ansonsten wiederherstellen zum Desktop und das ganze dann archivieren und mit einem Passwort versehen - dieses dann an heuristik2@avira.com senden und das passwort in der Mail mitteilen.

Wenn die Datei wiederhergestellt wurde, musst du den Guard deaktivieren, da er sonst jedesmal anschlagen wurde.

  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

14

Thursday, July 22nd 2010, 3:10pm

Ach ich bin auch selten dumm, tut mir leid! Auf das Archivieren hätte ich auch selbst kommen können ... hab es jetzt gemacht und es wurde kleiner als 8 MB. Ich habe es mittels des Webformulars eingeschickt und würde dann das Ergebnis, sobald ich es bekommen habe, hier posten. Ich hoffe, dass das so passt. Vielen Dank noch einmal, dass du mir so freundlich und geduldig hilfst!

  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

15

Thursday, July 22nd 2010, 5:27pm

Ich habe noch keine Antwort erhalten, hätte aber gerade noch eine Zusatzfrage. Als ich am 17. Juli einen Routinescan gemacht habe, hat er 8 Viren gefunden (Scan Report kommt weiter unten) und diese in die Quarantäne getan (bzw. 5 davon). Wie aber aus aus meinem Scan von gestern hervorgeht, findet Avira außer dieser merkwürdigen Datei, auf deren Analyse wir noch warten, keinen Virus mehr. Kann es jetzt trotzdem sein, dass eine "Backdoor" auf meinem PC existiert und ich ihn auf jeden Fall neu aufsetzen muss?

Scan-Bericht:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 17. Juli 2010 10:31

Es wird nach 2350377 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 22.04.2010 19:20:14
AVSCAN.DLL : 10.0.3.0 56168 Bytes 22.04.2010 19:20:14
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:01:57
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:01:57
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 21:56:33
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 22:23:07
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:07:48
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:59:26
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 22:47:39
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 22:47:39
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 22:47:39
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 22:47:39
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 22:47:39
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 22:47:39
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 22:47:39
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 19:08:59
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:59:56
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:59:56
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 18:58:09
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 18:58:11
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 19:45:02
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 19:45:02
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 09:28:29
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 09:28:30
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 09:27:26
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 14:12:59
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 14:36:27
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 10:35:09
VBASE026.VDF : 7.10.9.100 2048 Bytes 16.07.2010 10:35:10
VBASE027.VDF : 7.10.9.101 2048 Bytes 16.07.2010 10:35:10
VBASE028.VDF : 7.10.9.102 2048 Bytes 16.07.2010 10:35:10
VBASE029.VDF : 7.10.9.103 2048 Bytes 16.07.2010 10:35:10
VBASE030.VDF : 7.10.9.104 2048 Bytes 16.07.2010 10:35:10
VBASE031.VDF : 7.10.9.105 2048 Bytes 16.07.2010 10:35:10
Engineversion : 8.2.4.12
AEVDF.DLL : 8.1.2.0 106868 Bytes 25.04.2010 07:47:47
AESCRIPT.DLL : 8.1.3.40 1360250 Bytes 16.07.2010 10:35:12
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 18:13:48
AESBX.DLL : 8.1.3.1 254324 Bytes 25.04.2010 07:47:47
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 20:00:26
AEPACK.DLL : 8.2.2.6 430452 Bytes 16.07.2010 10:35:11
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 07.07.2010 09:28:31
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 23.06.2010 18:58:23
AEHELP.DLL : 8.1.11.6 242038 Bytes 23.06.2010 18:58:16
AEGEN.DLL : 8.1.3.14 381299 Bytes 16.07.2010 10:35:10
AEEMU.DLL : 8.1.2.0 393588 Bytes 25.04.2010 07:47:46
AECORE.DLL : 8.1.15.4 192886 Bytes 16.07.2010 10:35:10
AEBB.DLL : 8.1.1.0 53618 Bytes 25.04.2010 07:47:46
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 22.04.2010 19:20:14
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 22.04.2010 19:20:14
AVARKT.DLL : 10.0.0.14 227176 Bytes 22.04.2010 19:20:13
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 22.04.2010 19:20:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 17. Juli 2010 10:31

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunes.exe' - '142' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '131' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '156' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '143' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '151' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1625' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Users\Jonathan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZU5R19TT\load[1].exe
[FUND] Ist das Trojanische Pferd TR/Drop.Drooptroop.drh
C:\Users\Jonathan\AppData\Local\Windows Server\pnkcdc.dll
[FUND] Ist das Trojanische Pferd TR/Bamital.F
C:\Users\Jonathan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\6f2a71b8-154fce22
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.N
--> quote/Mailvue.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.N
--> quote/Skypeqd.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.S
--> quote/Twitters.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.T
C:\Users\Jonathan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\33cd9dff-555e0704
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FG
--> F.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FG
--> Google.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FF
C:\Users\Jonathan\AppData\Roaming\Microsoft\Windows\Templates\memory.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Drooptroop.drh
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Users\Jonathan\AppData\Roaming\Microsoft\Windows\Templates\memory.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Drooptroop.drh
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e3d218.qua' verschoben!
C:\Users\Jonathan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\33cd9dff-555e0704
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '507efd8d.qua' verschoben!
C:\Users\Jonathan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\6f2a71b8-154fce22
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.T
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '02f6a750.qua' verschoben!
C:\Users\Jonathan\AppData\Local\Windows Server\pnkcdc.dll
[FUND] Ist das Trojanische Pferd TR/Bamital.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '641ee89a.qua' verschoben!
C:\Users\Jonathan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZU5R19TT\load[1].exe
[FUND] Ist das Trojanische Pferd TR/Drop.Drooptroop.drh
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2194c5a5.qua' verschoben!


Ende des Suchlaufs: Samstag, 17. Juli 2010 11:22
Benötigte Zeit: 50:57 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

25528 Verzeichnisse wurden überprüft
422693 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
422685 Dateien ohne Befall
6803 Archive wurden durchsucht
0 Warnungen
5 Hinweise
566685 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

16

Thursday, July 22nd 2010, 8:23pm

Das war alles Malware. Kannst du auch alles aus der Quarantäne löschen. Mache folgendes:

Malwarebytes Anti - Malware
bitte von hier downloaden : http://www.majorgeeks.com

Nix anderes anklicken !!! Download startet automatisch !!!!

Starte das Programm - bitte unbedingt beachten unter Vista und Windows 7 als Administrator auszuführen !!!
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Drücke Starte SCAN
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Dann show results
1.die bitte hier ins Forum posten

  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

17

Thursday, July 22nd 2010, 9:17pm

Dankeschön für die Hilfe. Hier mein Scanbericht:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4339

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

22.07.2010 21:15:39
mbam-log-2010-07-22 (21-15-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 281629
Laufzeit: 43 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Jonathan\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.

18

Thursday, July 22nd 2010, 9:29pm

Antivir:

Konfiguration

Antivir öffnen, unter Extras - Konfiguration bei Expertenmodus Haken setzen , dort alle Dateien und Rootkitsuche bei Suchstart markieren, auf Scanner - Suche gehen und dort die Dateiheuristik auf hoch setzen. Unter Scanner - Suche - Aktion bei Fund - automatisch und als primäre Aktion "ignorieren" wählen und den Haken bei "Datei vor Aktion in Quarantäne kopieren" setzen. Unter Archive den Haken bei Rekursionstiefe einschränken entfernen. Bitte auch Bootsektoren und Masterbootsektoren durchsuchen lassen und alle Archivtypen markieren.

Suchlauf 1. Scan

Danach unter Lokaler Schutz - Prüfen *Lokale Laufwerke* markieren. Dann *Lokale Laufwerke* markiert halten und oben links auf die Lupe zum Start des Scans drücken (unter Vista die rechte Lupe mit dem Admin - Symbol). Scanbericht bitte dann hier posten.

Rootkitsuche 2. Scan

Danach bitte noch einen 2. Scan - diesmal unter Lokaler Schutz - Prüfen Suche nach Rootkits und aktiver Malware auswählen. Bitte auf die Frage am Schluß des Scans, ob noch ein Scan über die Laufwerke durchgeführt werden soll mit „Nein“ antworten.

  • "Ghuzdan" started this thread

Date of registration:
Jul 21st 2010

  • Send private message

19

Thursday, July 22nd 2010, 10:23pm

Alles klar, lustigerweise hat sich, nachdem ich das System nach dem Durchlauf von Malwarebytes Anti neustarten müsste, der Windows Defender geöffnet und mir alle Programme gezeigt, die im Autostart vorkommen - wieso, weiß ich nicht. Aber da ist so eine Sache dabei, die mir sehr verdächtig aussieht:

Dateiname: npc_tray.exe /LOAD
Startwert: C:\Program Files\Norman\npc\bin\npc_tray.exe /LOAD
Dateipfad: C:\Program Files\Norman\npc\bin\npc_tray.exe /LOAD
Starttyp: Registrierung: Lokaler Computer
Speicherort: Software\Microsoft\Windows\CurrentVersion\Run
Klassifizierung: Noch nicht klassifiziert
SpyNet-Abstimmung: Nicht verfügbar

Hier noch der erste Scan von Antivir, der zweite folgt dann bäldest. Noch einmal vielen, vielen Dank für deine unglaubliche Geduld.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 22. Juli 2010 21:32

Es wird nach 2562399 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet


Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 22.04.2010 19:20:14
AVSCAN.DLL : 10.0.3.0 56168 Bytes 22.04.2010 19:20:14
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:01:57
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:01:57
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 21:56:33
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 22:23:07
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:07:48
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:59:26
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 22:47:39
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 22:47:39
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 22:47:39
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 22:47:39
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 22:47:39
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 22:47:39
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 22:47:39
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 19:08:59
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 17:59:56
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 17:59:56
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 18:58:09
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 18:58:11
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 19:45:02
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 19:45:02
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 09:28:29
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 09:28:30
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 09:27:26
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 14:12:59
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 14:36:27
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 10:35:09
VBASE026.VDF : 7.10.9.133 630784 Bytes 20.07.2010 14:32:37
VBASE027.VDF : 7.10.9.141 421376 Bytes 21.07.2010 14:32:45
VBASE028.VDF : 7.10.9.148 355328 Bytes 21.07.2010 09:21:01
VBASE029.VDF : 7.10.9.153 492032 Bytes 21.07.2010 09:21:02
VBASE030.VDF : 7.10.9.160 864768 Bytes 22.07.2010 19:25:47
VBASE031.VDF : 7.10.9.163 17408 Bytes 22.07.2010 19:25:47
Engineversion : 8.2.4.26
AEVDF.DLL : 8.1.2.0 106868 Bytes 25.04.2010 07:47:47
AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21.07.2010 14:33:10
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 18:13:48
AESBX.DLL : 8.1.3.1 254324 Bytes 25.04.2010 07:47:47
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 14:33:06
AEPACK.DLL : 8.2.3.2 471414 Bytes 21.07.2010 14:33:03
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 09:21:03
AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21.07.2010 14:33:00
AEHELP.DLL : 8.1.13.2 242039 Bytes 21.07.2010 14:32:49
AEGEN.DLL : 8.1.3.17 385396 Bytes 22.07.2010 09:21:02
AEEMU.DLL : 8.1.2.0 393588 Bytes 25.04.2010 07:47:46
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 14:32:46
AEBB.DLL : 8.1.1.0 53618 Bytes 25.04.2010 07:47:46
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 22.04.2010 19:20:14
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 22.04.2010 19:20:14
AVARKT.DLL : 10.0.0.14 227176 Bytes 22.04.2010 19:20:13
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 22.04.2010 19:20:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: ignorieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, G:, H:, I:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Donnerstag, 22. Juli 2010 21:32

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[INFO] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1758' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Program Files\Newspaper Chase CD-ROM\Penguin_Linux
[FUND] Enthält verdächtigen Code: HEUR/ELF.Malformed
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 482b368c.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Donnerstag, 22. Juli 2010 22:17
Benötigte Zeit: 44:17 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

27035 Verzeichnisse wurden überprüft
415286 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
1 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
415285 Dateien ohne Befall
6834 Archive wurden durchsucht
0 Warnungen
1 Hinweise
124551 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

20

Thursday, July 22nd 2010, 10:34pm

npc gehört zu Norman - wäre aber besser diesen Schrottscanner zu deinstallieren. Den defender besser auch deaktivieren.