You are not logged in.

Thursday, April 24th 2014, 7:19am

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "RoBa" started this thread

Date of registration:
Apr 14th 2011

Operating System:
windows xp

  • Send private message

1

Thursday, April 14th 2011, 11:42am

Beim Rootkitscan wurden 15 Versteckte Objekte gefunden


Habe gestern Abend beim Virenscan 15 versteckte Objekte, bezogen auf den Rootkitscan, gefunden.
Viren selber wurden beim Reportbericht keine gefunden.
Ein Tag vorher, am Mittwoch Abend, kopierte ich vom Internet einen Artikel auf eine word Datei und wollte sie abspeichern. Plötzlich fing der Rechner an „durchzudrehen“ und speicherte die Datei wie eine Stoppuhr am laufenden Band. Die Maus konnte ich nicht mehr betätigen und der Rechner raste im Galopp. Ich schaltete den Rechner aus, doch es geschah nichts. Als ich den Strom am Kippschalter unterbrach, schaltete sich der Rechner dann endlich aus.
Als am nächsten Tag der Virenscan durchgeführt wurde (geht automatisch), meldete die Reportdatei 15 versteckte Objekte.
Hier die REportdatei:
Premium Security Suite
Erstellungsdatum der Reportdatei: Mittwoch, 13. April 2011 22:48

Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername :
Computername : MEDION-Q9300
Es wird nach 2553189 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.Versionsinformationen:
BUILD.DAT : 10.0.0.608 42919 Bytes 07.03.2011 11:59:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 21.01.2011 18:53:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 08.12.2010 11:56:38
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:22:50
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:37:24
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 08:18:50
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 12:06:08
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 12:06:08
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 12:06:08
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 12:06:08
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 12:06:08
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 12:06:08
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 12:06:08
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 12:06:08
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 12:06:08
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 12:06:08
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 11:50:36
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 10:12:43
VBASE015.VDF : 7.11.6.75 2048 Bytes 13.04.2011 10:12:43
VBASE016.VDF : 7.11.6.76 2048 Bytes 13.04.2011 10:12:43
VBASE017.VDF : 7.11.6.77 2048 Bytes 13.04.2011 10:12:43
VBASE018.VDF : 7.11.6.78 2048 Bytes 13.04.2011 10:12:43
VBASE019.VDF : 7.11.6.79 2048 Bytes 13.04.2011 10:12:43
VBASE020.VDF : 7.11.6.80 2048 Bytes 13.04.2011 10:12:43
VBASE021.VDF : 7.11.6.81 2048 Bytes 13.04.2011 10:12:43
VBASE022.VDF : 7.11.6.82 2048 Bytes 13.04.2011 10:12:43
VBASE023.VDF : 7.11.6.83 2048 Bytes 13.04.2011 10:12:43
VBASE024.VDF : 7.11.6.84 2048 Bytes 13.04.2011 10:12:43
VBASE025.VDF : 7.11.6.85 2048 Bytes 13.04.2011 10:12:43
VBASE026.VDF : 7.11.6.86 2048 Bytes 13.04.2011 10:12:43
VBASE027.VDF : 7.11.6.87 2048 Bytes 13.04.2011 10:12:43
VBASE028.VDF : 7.11.6.88 2048 Bytes 13.04.2011 10:12:43
VBASE029.VDF : 7.11.6.89 2048 Bytes 13.04.2011 10:12:43
VBASE030.VDF : 7.11.6.90 2048 Bytes 13.04.2011 10:12:43
VBASE031.VDF : 7.11.6.99 33280 Bytes 13.04.2011 18:12:49
Engineversion : 8.2.4.206
AEVDF.DLL : 8.1.2.1 106868 Bytes 17.11.2010 17:52:03
AESCRIPT.DLL : 8.1.3.58 1266042 Bytes 04.04.2011 09:24:55
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 11:58:34
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 11:58:41
AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 18:03:44
AEPACK.DLL : 8.2.6.0 549237 Bytes 11.04.2011 09:53:18
AEOFFICE.DLL : 8.1.1.20 205177 Bytes 04.04.2011 09:24:54
AEHEUR.DLL : 8.1.2.97 3428726 Bytes 11.04.2011 09:53:18
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 07:26:29
AEGEN.DLL : 8.1.5.4 397684 Bytes 04.04.2011 09:24:53
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 11:56:02
AECORE.DLL : 8.1.20.2 196982 Bytes 11.04.2011 09:53:17
AEBB.DLL : 8.1.1.0 53618 Bytes 17.11.2010 17:52:02
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 17.11.2010 17:52:03
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 08.12.2010 11:56:38
AVARKT.DLL : 10.0.22.6 231784 Bytes 08.12.2010 11:56:37
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.32 2899304 Bytes 21.01.2011 18:53:31
RCTEXT.DLL : 10.0.58.0 98152 Bytes 21.01.2011 18:53:31

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: I:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Mittwoch, 13. April 2011 22:48

Der Suchlauf nach versteckten Objekten wird begonnen.
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe
i:\programme\adobe\reader 10.0\reader\acrord32.exe

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '135' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'FNPLicensingService.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'VoipStunt.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnf.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnd.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLANMini.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'x10nets.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '121' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '429' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'I:' <Windows XP>


Ende des Suchlaufs: Donnerstag, 14. April 2011 00:05
Benötigte Zeit: 1:17:15 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

12189 Verzeichnisse wurden überprüft
484564 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
484564 Dateien ohne Befall
3182 Archive wurden durchsucht
0 Warnungen
0 Hinweise
688712 Objekte wurden beim Rootkitscan durchsucht
15 Versteckte Objekte wurden gefunden

Ich benutzte dann noch den Sybot – Search and Destroy – da wurden auch keine Spione entdeckt.
Was kann ich tun, um die 15 „Ufos“ loszuwerden – sind die schon auf meinem Rechner verteilt und der infiziert?
Bitte um Nachricht.

This post has been edited 1 times, last edit by "RoBa" (Apr 14th 2011, 11:48am)


A.Novize

Community member

Date of registration:
Oct 4th 2006

Version:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

Operating System:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 13.10

  • Send private message

2

Thursday, April 14th 2011, 11:51am

RoBa, Hallo und welcome on board;

Wenn du dich im Forum ein wenig umsiehst, wirst du feststellen, dass es sehr viele Anfragen zu den versteckten Objekten gibt.

Obschon unter "Rootkitsuche" gefunden, sind die wenigsten versteckten Objekte auch wirklich gefährliche Rootkits - Windows selbst und viele Anwendungen verstecken standardmäßig Prozesse bzw. Registry-Einträge.

Es wird die aber vermutlich einleuchten, dass zu deinen versteckten Objekten hier wenig gesagt werden kann, wenn du nicht postest, welche das sind... :whistling:

Also bitte den betreffenden Report bitte kopieren und hier einfügen- dabei im Kopf des Scanlogfiles bitte Benutzername und Lizenznummer der Suite entfernen bzw. xxxx-en.

Ob das beschriebene Verhalten ein einmaliger Ausrutscher oder sich mehr dahinter verbirgt, sieht dann man in einem weiterem Schritt.
Bei Spybot (ist ein wenig angegraut, *iNho*) der TeaTimer aktiv...?
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

A.Novize

Community member

Date of registration:
Oct 4th 2006

Version:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

Operating System:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 13.10

  • Send private message

3

Thursday, April 14th 2011, 11:58am

Oha- hast du ja inzwischen schon... ;)

Nun, das ist aber doch selbsterklärend - da war einfach -wissentlich oder im Hintergrund- der Adobe Reader aktiv.

Generell empfiehlt es sich, vor einem Systemscan- der meiner persönlichen Meinung nach nicht täglich ottomatisch laufen muss, von zeit zu zeit manueller check reicht, zur ständigen Überwachung gibt es ja die guards - sämtliche anderen Anwendungen zu beenden, auch die im systray aufgeführten, nach Möglichkeit.

ABER:

Quoted

Plattform : Windows XP
Windowsversion : (Service Pack 2)

Hier ist dringender Handlungsbedarf - XP mit nur SP2 wird seit Juli 2010 nicht mehr mit Updates, auch nicht @security versorgt :!:

==> Umgehend auf Windows Update und das SP3 holen- ggf. über benutzerdefinierte Suche nach Updates, wenn nicht gleich angeboten!
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

4

Thursday, April 14th 2011, 12:06pm

Plattform : Windows XP
Windowsversion : (Service Pack 2)


Ist schon 5 nach 12 !!


Rajo

A.Novize

Community member

Date of registration:
Oct 4th 2006

Version:
Avira Antivirus Premium
Avira Internet Security
Avira Free Mac Security

Operating System:
Mac OS X 10.6.8 / Windows 7 Home Premium 32Bit auf Mac via Parallels VM/ Windows 7 Ultimate 64Bit/ Ubuntu 13.10

  • Send private message

5

Thursday, April 14th 2011, 12:12pm

Eh oui, mon très cher...

..aber...wenn der TO sich offenbar ausloggt, ehe er die Antworten liest...*seufz*... :rolleyes:
Gruß, Novize.

Hijack This 2.0.4* VirusTotal * SWH deaktivieren * Malwarebytes (incl.Tutorial) *CCleaner (Slim!)AVIRA on YouTube
Fragen sind im Forum, wo viele Wissende zugegen, besser aufgehoben- bitte nicht per PN ! Danke.

  • "RoBa" started this thread

Date of registration:
Apr 14th 2011

Operating System:
windows xp

  • Send private message

6

Thursday, April 14th 2011, 12:28pm

Danke Novize, für deine Antwort. Normalerweise sind alle Anwendungen beim Virenscan geschlossen, hab ich wahrscheinlich vergessen.
Da ich mir schon etliche Viren und Trojaner eingefangen habe, läuft der Virenscan tgl. Bin sehr vorsichtig geworden, auch beim Herunterladen von Dateien.
Das mit dem SErvicepack 3 nehme ich gleich in Angriff.
RoBa