You are not logged in.

Wednesday, July 23rd 2014, 1:37am

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "Schwarzwälder31" started this thread

Date of registration:
May 18th 2011

Operating System:
Windows XP

  • Send private message

1

Wednesday, May 18th 2011, 11:17am

Trojaner oder nicht?

Hallo,

hatte Adaware und Antivir installiert. Beim Suchlauf von Antivir wurde nichts festgestellt. Beim Suchlauf von Adaware meldete sich der Guard von Antivir mit einem Fund.
Dies ließ sich beliebig oft wiederholen.
Habe Adaware inzwischen deinstalliert. Antivir findet beim vollständigen Suchlauf weiterhin nichts.

Bei den Ereignissen in Antivir stand folgendes:

In der Datei 'C:\WINDOWS\Temp\SBS_VE_AMBR_20110415213033.718_ 7'
wurde ein Virus oder unerwünschtes Programm 'TR/Refroso.dfog' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Was heißt hier "Zugriff erlauben"? Dem Trojaner wurde der Zugriff auf das System erlaubt?

Wenn ich die Datei suche, wird sie nicht gefunden.

Bin etwas ratlos...

Im Voraus Danke für die Hilfe

SuiteBenutzer

Community member

Date of registration:
Feb 16th 2011

Version:
Avira Internet Security

Operating System:
Microsoft Windows Vista Home Premium SP2 und Microsoft Windows 7 Home Premium SP1

  • Send private message

2

Wednesday, May 18th 2011, 1:11pm

Dem Guard wurde der Zugriff erlaubt,nicht der Malware auf dein System.Hier könnnte sich aber ein Fehlalarm eingeschlichen haben.Bitte mal Antivir updaten,und wie von Nighthawk beschrieben dein System scannen:

Konfiguration

Antivir öffnen, unter Extras - Konfiguration bei Expertenmodus Haken setzen , dort alle Dateien und Rootkitsuche bei Suchstart markieren, auf Scanner - Suche gehen und dort die Dateiheuristik auf hoch setzen. Unter Scanner - Suche - Aktion bei Fund - automatisch und als primäre Aktion "löschen" wählen und den Haken bei "Datei vor Aktion in Quarantäne kopieren" setzen. Unter Archive den Haken bei Rekursionstiefe einschränken entfernen. Bitte auch Bootsektoren und Masterbootsektoren durchsuchen lassen und alle Archivtypen markieren.

Suchlauf 1. Scan

Danach unter Lokaler Schutz - Prüfen *Lokale Laufwerke* markieren. Dann *Lokale Laufwerke* markiert halten und oben links auf die Lupe zum Start des Scans drücken (unter Vista die rechte Lupe mit dem Admin - Symbol). Scanbericht bitte dann hier posten.

Rootkitsuche 2. Scan

Danach bitte noch einen 2. Scan - diesmal unter Lokaler Schutz - Prüfen Suche nach Rootkits und aktiver Malware auswählen. Bitte auf die Frage am Schluß des Scans, ob noch ein Scan über die Laufwerke durchgeführt werden soll mit „Nein“ antworten.

Danach noch Malwarebytes runterladen,(Link in meiner Signatur),updaten,und vollständigen Suchlauf durchführen.Beide Reports posten.

  • "Schwarzwälder31" started this thread

Date of registration:
May 18th 2011

Operating System:
Windows XP

  • Send private message

3

Wednesday, May 18th 2011, 2:44pm

So, hier mal das Ergebnis von Suchlauf 1:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 18. Mai 2011 13:22

Es wird nach 2743435 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : User
Computername : P4

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 28.04.2011 19:05:38
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 15:21:32
LUKE.DLL : 10.0.3.2 104296 Bytes 11.12.2010 14:08:24
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:46:45
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:11:59
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 18:48:34
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 15:50:55
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 15:50:55
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 15:50:55
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 15:50:55
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 15:50:55
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 15:50:55
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 15:50:55
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 15:50:56
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 15:50:56
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 15:50:56
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 18:00:48
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 05:31:15
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 05:31:15
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 14:05:12
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 14:05:12
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 14:05:14
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 19:05:38
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 19:05:38
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 14:38:18
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 17:16:35
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 14:23:30
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 04:21:51
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 04:21:51
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 15:39:06
VBASE027.VDF : 7.11.8.46 169472 Bytes 17.05.2011 19:05:55
VBASE028.VDF : 7.11.8.47 2048 Bytes 17.05.2011 19:05:55
VBASE029.VDF : 7.11.8.48 2048 Bytes 17.05.2011 19:05:55
VBASE030.VDF : 7.11.8.49 2048 Bytes 17.05.2011 19:05:55
VBASE031.VDF : 7.11.8.54 8192 Bytes 18.05.2011 09:23:52
Engineversion : 8.2.4.236
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 20:10:03
AESCRIPT.DLL : 8.1.3.63 1601915 Bytes 17.05.2011 09:17:47
AESCN.DLL : 8.1.7.2 127349 Bytes 24.11.2010 17:11:22
AESBX.DLL : 8.1.3.2 254324 Bytes 24.11.2010 17:11:23
AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 17:36:22
AEPACK.DLL : 8.2.6.8 557430 Bytes 17.05.2011 09:17:46
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 05.05.2011 17:17:08
AEHEUR.DLL : 8.1.2.118 3469687 Bytes 17.05.2011 09:17:45
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 18:33:21
AEGEN.DLL : 8.1.5.5 401780 Bytes 17.05.2011 09:17:43
AEEMU.DLL : 8.1.3.0 393589 Bytes 24.11.2010 17:11:20
AECORE.DLL : 8.1.20.4 196983 Bytes 17.05.2011 09:17:43
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 03:24:55
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 19:05:55
AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 13:55:47
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 28.04.2011 19:05:38
AVARKT.DLL : 10.0.22.6 231784 Bytes 11.12.2010 14:08:24
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 13:55:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: aus
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, J:, K:, L:, M:, F:, G:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 18. Mai 2011 13:22

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogWatNT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMyPrt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Im Laufwerk 'J:\' ist kein Datenträger eingelegt!
Bootsektor 'K:\'
[INFO] Im Laufwerk 'K:\' ist kein Datenträger eingelegt!
Bootsektor 'L:\'
[INFO] Im Laufwerk 'L:\' ist kein Datenträger eingelegt!
Bootsektor 'M:\'
[INFO] Im Laufwerk 'M:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1808' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\8vdhvnxt.default\Cache(2).Trash\Trash(2)\Cache(2)\62AFFF0Ad01
[WARNUNG] Die Datei konnte nicht gelesen werden!
Beginne mit der Suche in 'D:\' <Backup>
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'K:\'
Der zu durchsuchende Pfad K:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'L:\'
Der zu durchsuchende Pfad L:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'M:\'
Der zu durchsuchende Pfad M:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\' <Sims2_1>
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Mittwoch, 18. Mai 2011 14:42
Benötigte Zeit: 1:20:27 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

13254 Verzeichnisse wurden überprüft
547717 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
547717 Dateien ohne Befall
8711 Archive wurden durchsucht
1 Warnungen
0 Hinweise
67660 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden





Werd jetzt gleich weitermachen. Danke für die Hilfe

  • "Schwarzwälder31" started this thread

Date of registration:
May 18th 2011

Operating System:
Windows XP

  • Send private message

4

Wednesday, May 18th 2011, 2:55pm

Ergebnis von Rootkitsuche:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 18. Mai 2011 14:46

Es wird nach 2743435 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : User
Computername : P4

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 28.04.2011 19:05:38
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 15:21:32
LUKE.DLL : 10.0.3.2 104296 Bytes 11.12.2010 14:08:24
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:46:45
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:11:59
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 18:48:34
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 15:50:55
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 15:50:55
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 15:50:55
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 15:50:55
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 15:50:55
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 15:50:55
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 15:50:55
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 15:50:56
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 15:50:56
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 15:50:56
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 18:00:48
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 05:31:15
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 05:31:15
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 14:05:12
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 14:05:12
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 14:05:14
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 19:05:38
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 19:05:38
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 14:38:18
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 17:16:35
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 14:23:30
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 04:21:51
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 04:21:51
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 15:39:06
VBASE027.VDF : 7.11.8.46 169472 Bytes 17.05.2011 19:05:55
VBASE028.VDF : 7.11.8.47 2048 Bytes 17.05.2011 19:05:55
VBASE029.VDF : 7.11.8.48 2048 Bytes 17.05.2011 19:05:55
VBASE030.VDF : 7.11.8.49 2048 Bytes 17.05.2011 19:05:55
VBASE031.VDF : 7.11.8.54 8192 Bytes 18.05.2011 09:23:52
Engineversion : 8.2.4.236
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 20:10:03
AESCRIPT.DLL : 8.1.3.63 1601915 Bytes 17.05.2011 09:17:47
AESCN.DLL : 8.1.7.2 127349 Bytes 24.11.2010 17:11:22
AESBX.DLL : 8.1.3.2 254324 Bytes 24.11.2010 17:11:23
AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 17:36:22
AEPACK.DLL : 8.2.6.8 557430 Bytes 17.05.2011 09:17:46
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 05.05.2011 17:17:08
AEHEUR.DLL : 8.1.2.118 3469687 Bytes 17.05.2011 09:17:45
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 18:33:21
AEGEN.DLL : 8.1.5.5 401780 Bytes 17.05.2011 09:17:43
AEEMU.DLL : 8.1.3.0 393589 Bytes 24.11.2010 17:11:20
AECORE.DLL : 8.1.20.4 196983 Bytes 17.05.2011 09:17:43
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 03:24:55
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 19:05:55
AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 13:55:47
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 28.04.2011 19:05:38
AVARKT.DLL : 10.0.22.6 231784 Bytes 11.12.2010 14:08:24
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 13:55:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: aus
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 18. Mai 2011 14:46

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-3902084586-1411816444-1042537209-1007\Software\Zepter Software\RegLib\AnyDVD/1\1
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-3902084586-1411816444-1042537209-1007\Software\Zepter Software\RegLib\AnyDVD/1\2
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\cd042efbbd7f7af1647644e76e06692b
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\bca643cdc5c2726b20d2ecedcc62c59b
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\2c81e34222e8052573023a60d06dd016
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\2582ae41fb52324423be06337561aa48
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\caaeda5fd7a9ed7697d9686d4b818472
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\a4a1bcf2cc2b8bc3716b74b2b4522f5d
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\4d370831d2c43cd13623e232fed27b7b
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\1d68fe701cdea33e477eb204b76f993d
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\1fac81b91d8e3c5aa4b0a51804d844a3
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\f5f62a6129303efb32fbe080bb27835b
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\fd4e2e1a3940b94dceb5a6a021f2e3c6
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\8a8aec57dd6508a385616fbc86791ec2
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogWatNT.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'mHotkey.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMyPrt.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnpstd3.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '164' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht


Ende des Suchlaufs: Mittwoch, 18. Mai 2011 14:54
Benötigte Zeit: 07:17 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
2053 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
2053 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
16 Hinweise
711777 Objekte wurden beim Rootkitscan durchsucht
27 Versteckte Objekte wurden gefunden

  • "Schwarzwälder31" started this thread

Date of registration:
May 18th 2011

Operating System:
Windows XP

  • Send private message

5

Wednesday, May 18th 2011, 3:34pm

Hab jetzt noch Spybot Search & Destroy drüber laufen lassen.
Kein FUND!

Muss ich jetzt noch dieses Malwarebytes benutzen?

Gruß Markus

Stefan K.

Community member

Date of registration:
Oct 9th 2007

Version:
Avira Free Antivirus
Avira Antivirus Premium
Avira Internet Security

Operating System:
Windows XP Home Edition (32-Bit) - Service Pack 3

  • Send private message

6

Wednesday, May 18th 2011, 3:43pm

Zur Sicherheit ja. Installiern, Update machen, vollständigen Suchlauf starten und Ergebnis posten.

Aber ich denke mal, dass Ad-aware das nur angemeckert hat, weil der AnitVir Gurad auch im Hintergrund gescannt hat. Beide Progarmme haben dann auf die selbe Sache zugegriffen und Ad-aware hat das nicht gefallen. Desshalb bei einem Suchlauf mit anderen Anti-Malwareprogrammen, den Guard vorübergehend abschalten. Dies bitte auch vor dem Suchlauf mit Malwarebytes tun !

  • "Schwarzwälder31" started this thread

Date of registration:
May 18th 2011

Operating System:
Windows XP

  • Send private message

7

Wednesday, May 18th 2011, 5:25pm

So, noch der Suchlauf von Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6610

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.05.2011 17:20:31
mbam-log-2011-05-18 (17-20-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 270099
Laufzeit: 43 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Denke mal, es ist alles clean???

Nochmal für mich zum Verständnis, ist das ein passabler Schutz:

Ich habe Antivir Personal, aktualisiere es ständig und der Guard läuft.
Spybot läuft ohne Teatimer und wird aktuell gehalten und wöchentlicher Scan.
Malwarebytes hat keinen Guard, wird aktuell gehalten und wöchentlicher Scan.

Danke für die schnelle Hilfe

SuiteBenutzer

Community member

Date of registration:
Feb 16th 2011

Version:
Avira Internet Security

Operating System:
Microsoft Windows Vista Home Premium SP2 und Microsoft Windows 7 Home Premium SP1

  • Send private message

Stefan K.

Community member

Date of registration:
Oct 9th 2007

Version:
Avira Free Antivirus
Avira Antivirus Premium
Avira Internet Security

Operating System:
Windows XP Home Edition (32-Bit) - Service Pack 3

  • Send private message

9

Wednesday, May 18th 2011, 6:59pm

Nochmal für mich zum Verständnis, ist das ein passabler Schutz:

Ich habe Antivir Personal, aktualisiere es ständig und der Guard läuft.
Spybot läuft ohne Teatimer und wird aktuell gehalten und wöchentlicher Scan.
Malwarebytes hat keinen Guard, wird aktuell gehalten und wöchentlicher Scan.


Ja kannst du so lassen.