You are not logged in.

Wednesday, April 16th 2014, 3:10pm

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

1

Tuesday, November 6th 2012, 9:12am

TR/Crypt.EPACK.Gen2 eingefangen

Hallo,
ich habe mir anscheinend den oben genannten Trojaner eingefangen.
Da ich wenig Ahnung von der Materie habe und mein Notebook sehr wichtig für mein Studium ist, hoffe ich auf nette, kompetente und schnelle Hilfe.
Ich bedanke mich schonmal im vorraus.

Grüße Christina


Hier einmal der Antivir Fundbericht:

Quoted



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 6. November 2012 08:47

Es wird nach 4450107 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : W

Versionsinformationen:
BUILD.DAT : 12.0.0.1199 40869 Bytes 07.09.2012 22:14:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 09.08.2012 14:16:41
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 19:44:02
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 19:44:02
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 19:44:02
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 19:15:15
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 21:06:20
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:32:59
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 07:38:31
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 08:33:52
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 11:38:12
VBASE007.VDF : 7.11.45.207 2363904 Bytes 11.10.2012 01:51:31
VBASE008.VDF : 7.11.45.208 2048 Bytes 11.10.2012 01:51:31
VBASE009.VDF : 7.11.45.209 2048 Bytes 11.10.2012 01:51:31
VBASE010.VDF : 7.11.45.210 2048 Bytes 11.10.2012 01:51:31
VBASE011.VDF : 7.11.45.211 2048 Bytes 11.10.2012 01:51:31
VBASE012.VDF : 7.11.45.212 2048 Bytes 11.10.2012 01:51:31
VBASE013.VDF : 7.11.45.213 2048 Bytes 11.10.2012 01:51:31
VBASE014.VDF : 7.11.46.65 220160 Bytes 16.10.2012 21:40:21
VBASE015.VDF : 7.11.46.153 173568 Bytes 18.10.2012 18:00:30
VBASE016.VDF : 7.11.46.223 162304 Bytes 19.10.2012 22:29:26
VBASE017.VDF : 7.11.47.35 126464 Bytes 22.10.2012 19:04:32
VBASE018.VDF : 7.11.47.95 175616 Bytes 24.10.2012 20:46:14
VBASE019.VDF : 7.11.47.177 164352 Bytes 26.10.2012 13:11:23
VBASE020.VDF : 7.11.47.229 143360 Bytes 28.10.2012 20:22:04
VBASE021.VDF : 7.11.48.47 138240 Bytes 30.10.2012 08:02:20
VBASE022.VDF : 7.11.48.135 122880 Bytes 01.11.2012 11:51:28
VBASE023.VDF : 7.11.48.209 142848 Bytes 05.11.2012 19:57:58
VBASE024.VDF : 7.11.48.210 2048 Bytes 05.11.2012 19:57:59
VBASE025.VDF : 7.11.48.211 2048 Bytes 05.11.2012 19:57:59
VBASE026.VDF : 7.11.48.212 2048 Bytes 05.11.2012 19:57:59
VBASE027.VDF : 7.11.48.213 2048 Bytes 05.11.2012 19:57:59
VBASE028.VDF : 7.11.48.214 2048 Bytes 05.11.2012 19:57:59
VBASE029.VDF : 7.11.48.215 2048 Bytes 05.11.2012 19:57:59
VBASE030.VDF : 7.11.48.216 2048 Bytes 05.11.2012 19:57:59
VBASE031.VDF : 7.11.48.240 116736 Bytes 05.11.2012 19:58:00
Engineversion : 8.2.10.192
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 16:09:03
AESCRIPT.DLL : 8.1.4.64 463228 Bytes 05.11.2012 19:58:06
AESCN.DLL : 8.1.9.2 131444 Bytes 26.09.2012 13:18:26
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 15:12:49
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.3.0.38 811382 Bytes 30.09.2012 15:32:40
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 19:58:06
AEHEUR.DLL : 8.1.4.128 5489017 Bytes 05.11.2012 19:58:06
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 20:28:30
AEGEN.DLL : 8.1.5.38 434548 Bytes 26.09.2012 13:18:25
AEEXP.DLL : 8.2.0.10 119158 Bytes 05.11.2012 19:58:06
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 16:09:02
AECORE.DLL : 8.1.28.2 201079 Bytes 26.09.2012 13:18:25
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 19:58:00
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 19:44:02
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 19:44:02
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 19:44:02
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 19:44:02
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 19:44:02
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 19:44:02
AVSMTP.DLL : 12.3.0.32 63480 Bytes 09.08.2012 14:16:42
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 19:44:02
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 09.08.2012 14:16:09
RCTEXT.DLL : 12.3.0.31 100088 Bytes 09.08.2012 14:16:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_5098be13\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Dienstag, 6. November 2012 08:47

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_287.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_287.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTPlayerCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mediasrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TSTheme.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'obexsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnp2uvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'devmonsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\W\AppData\Roaming\appConf32.exe'
C:\Users\W\AppData\Roaming\appConf32.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2

Beginne mit der Desinfektion:
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2517136421-1979830043-826481217-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich entfernt.
C:\Users\W\AppData\Roaming\appConf32.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2517136421-1979830043-826481217-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2517136421-1979830043-826481217-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit> wurde erfolgreich repariert.


Ende des Suchlaufs: Dienstag, 6. November 2012 08:48
Benötigte Zeit: 00:05 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
765 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
764 Dateien ohne Befall
1 Archive wurden durchsucht
1 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.
Zur Zeit läuft ein Suchlauf, den Antivir selbstständig gestartet hat.

Edit.: Der Suchlauf der gerade läuft zeigt eine vielzahl von weiteren Funden.

This post has been edited 1 times, last edit by "Ghost20" (Nov 6th 2012, 9:18am)


  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

2

Tuesday, November 6th 2012, 9:53am

Abgeschlossener Suchlauf:

Quoted



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 6. November 2012 08:55

Es wird nach 4450107 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : W

Versionsinformationen:
BUILD.DAT : 12.0.0.1199 40869 Bytes 07.09.2012 22:14:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 09.08.2012 14:16:41
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 19:44:02
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 19:44:02
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 19:44:02
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 19:15:15
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 21:06:20
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:32:59
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 07:38:31
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 08:33:52
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 11:38:12
VBASE007.VDF : 7.11.45.207 2363904 Bytes 11.10.2012 01:51:31
VBASE008.VDF : 7.11.45.208 2048 Bytes 11.10.2012 01:51:31
VBASE009.VDF : 7.11.45.209 2048 Bytes 11.10.2012 01:51:31
VBASE010.VDF : 7.11.45.210 2048 Bytes 11.10.2012 01:51:31
VBASE011.VDF : 7.11.45.211 2048 Bytes 11.10.2012 01:51:31
VBASE012.VDF : 7.11.45.212 2048 Bytes 11.10.2012 01:51:31
VBASE013.VDF : 7.11.45.213 2048 Bytes 11.10.2012 01:51:31
VBASE014.VDF : 7.11.46.65 220160 Bytes 16.10.2012 21:40:21
VBASE015.VDF : 7.11.46.153 173568 Bytes 18.10.2012 18:00:30
VBASE016.VDF : 7.11.46.223 162304 Bytes 19.10.2012 22:29:26
VBASE017.VDF : 7.11.47.35 126464 Bytes 22.10.2012 19:04:32
VBASE018.VDF : 7.11.47.95 175616 Bytes 24.10.2012 20:46:14
VBASE019.VDF : 7.11.47.177 164352 Bytes 26.10.2012 13:11:23
VBASE020.VDF : 7.11.47.229 143360 Bytes 28.10.2012 20:22:04
VBASE021.VDF : 7.11.48.47 138240 Bytes 30.10.2012 08:02:20
VBASE022.VDF : 7.11.48.135 122880 Bytes 01.11.2012 11:51:28
VBASE023.VDF : 7.11.48.209 142848 Bytes 05.11.2012 19:57:58
VBASE024.VDF : 7.11.48.210 2048 Bytes 05.11.2012 19:57:59
VBASE025.VDF : 7.11.48.211 2048 Bytes 05.11.2012 19:57:59
VBASE026.VDF : 7.11.48.212 2048 Bytes 05.11.2012 19:57:59
VBASE027.VDF : 7.11.48.213 2048 Bytes 05.11.2012 19:57:59
VBASE028.VDF : 7.11.48.214 2048 Bytes 05.11.2012 19:57:59
VBASE029.VDF : 7.11.48.215 2048 Bytes 05.11.2012 19:57:59
VBASE030.VDF : 7.11.48.216 2048 Bytes 05.11.2012 19:57:59
VBASE031.VDF : 7.11.48.240 116736 Bytes 05.11.2012 19:58:00
Engineversion : 8.2.10.192
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 16:09:03
AESCRIPT.DLL : 8.1.4.64 463228 Bytes 05.11.2012 19:58:06
AESCN.DLL : 8.1.9.2 131444 Bytes 26.09.2012 13:18:26
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 15:12:49
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02
AEPACK.DLL : 8.3.0.38 811382 Bytes 30.09.2012 15:32:40
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 19:58:06
AEHEUR.DLL : 8.1.4.128 5489017 Bytes 05.11.2012 19:58:06
AEHELP.DLL : 8.1.25.2 258423 Bytes 11.10.2012 20:28:30
AEGEN.DLL : 8.1.5.38 434548 Bytes 26.09.2012 13:18:25
AEEXP.DLL : 8.2.0.10 119158 Bytes 05.11.2012 19:58:06
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 16:09:02
AECORE.DLL : 8.1.28.2 201079 Bytes 26.09.2012 13:18:25
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 19:58:00
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 19:44:02
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 19:44:02
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 19:44:02
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 19:44:02
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 19:44:02
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 19:44:02
AVSMTP.DLL : 12.3.0.32 63480 Bytes 09.08.2012 14:16:42
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 19:44:02
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 09.08.2012 14:16:09
RCTEXT.DLL : 12.3.0.31 100088 Bytes 09.08.2012 14:16:09

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20121106-084859-63F37F20.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, Q:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 6. November 2012 08:55

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'Q:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Media Player NSS\3.0\Events\{1F57FD11-C005-4B20-9C67-F9104F33AB4A}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{08B080B2-E810-48C5-9B5D-437E338E953B}\Connection\Name
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\LanaMap
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\Bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\Route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\Export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2517136421-1979830043-826481217-1000\Software\Avira\AntiVir Desktop\profDataStr
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_287.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_4_402_287.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTPlayerCtrl.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mediasrv.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'obexsrv.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnp2uvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'devmonsrv.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2512' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\Users\W\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\readme[1].exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Sinowal.lqma
C:\Users\W\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z7AVUEBR\info[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.53248.4
C:\Users\W\AppData\Local\Temp\jar_cache2291423479550151117.tmp
[0] Archivtyp: ZIP
--> ApcQ.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CQ
--> NFEGjE.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
--> bEIs.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DF
--> BUfJSMp.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DG
--> CtsYyFcE.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DH
--> MaOesmRp.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.CQ
--> MzD.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CS
--> tncp.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DJ
--> wFFowIRYvS.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CO
--> xkKBv.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR
C:\Users\W\AppData\Local\Temp\jar_cache3450907034082410837.tmp
[0] Archivtyp: ZIP
--> ApcQ.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CQ
--> NFEGjE.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
--> bEIs.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DF
--> BUfJSMp.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DG
--> CtsYyFcE.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DH
--> MaOesmRp.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.CQ
--> MzD.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CS
--> tncp.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DJ
--> wFFowIRYvS.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CO
--> xkKBv.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR
C:\Users\W\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\5251dd55-764918bf
[0] Archivtyp: ZIP
--> okmokmokmoka.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-4681.A.376
--> okmokmokmokb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.597
Beginne mit der Suche in 'D:\' <Data>
D:\$RECYCLE.BIN\S-1-5-21-2517136421-1979830043-826481217-1000\$RI47I89.rar
[0] Archivtyp: RAR
--> 64-Bit\MetMulti.dll
[FUND] Ist das Trojanische Pferd TR/Rogue.kdv.617164
--> 32-Bit\MetMulti.dll
[FUND] Ist das Trojanische Pferd TR/Rogue.kdv.617164
D:\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
D:\Steam\SteamApps\c\zombie panic! source\zps\cache\fl.mp3.bz20000
[WARNUNG] Unerwartetes Dateiende erreicht
D:\Steam\SteamApps\c\zombie panic! source\zps\cache\zpo_church_siege_xmas_md2.bsp.bz20000
[WARNUNG] Unerwartetes Dateiende erreicht
D:\Steam\SteamApps\c\zombie panic! source\zps\cache\zpo_lickerfactory_b2.bsp.bz20000
[WARNUNG] Unerwartetes Dateiende erreicht
D:\Steam\SteamApps\c\zombie panic! source\zps\cache\zpo_redqueen_cvg_r10.bsp.bz20000
[WARNUNG] Unerwartetes Dateiende erreicht
D:\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
Beginne mit der Suche in 'Q:\'
Der zu durchsuchende Pfad Q:\ konnte nicht geöffnet werden!
Systemfehler [5]: Zugriff verweigert


  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

3

Tuesday, November 6th 2012, 9:53am

Quoted

Beginne mit der Desinfektion:
D:\$RECYCLE.BIN\S-1-5-21-2517136421-1979830043-826481217-1000\$RI47I89.rar
[FUND] Ist das Trojanische Pferd TR/Rogue.kdv.617164
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56926e13.qua' verschoben!
C:\Users\W\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\5251dd55-764918bf
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.597
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e294195.qua' verschoben!
C:\Users\W\AppData\Local\Temp\jar_cache3450907034082410837.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1db11aac.qua' verschoben!
C:\Users\W\AppData\Local\Temp\jar_cache2291423479550151117.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7b86556e.qua' verschoben!
C:\Users\W\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z7AVUEBR\info[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.53248.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3ff6784d.qua' verschoben!
C:\Users\W\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P5C9KZLX\readme[1].exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Sinowal.lqma
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '40ea4a35.qua' verschoben!


Ende des Suchlaufs: Dienstag, 6. November 2012 09:47
Benötigte Zeit: 51:48 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

24419 Verzeichnisse wurden überprüft
382722 Dateien wurden geprüft
26 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
382696 Dateien ohne Befall
2808 Archive wurden durchsucht
6 Warnungen
31 Hinweise
531022 Objekte wurden beim Rootkitscan durchsucht
25 Versteckte Objekte wurden gefunden


markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

4

Tuesday, November 6th 2012, 12:36pm

möchte mir noch was ansehen.
Systemscan mit OTL
download otl:
http://oldtimer.geekstogo.com/OTL.exe

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind tu folgendes. start programme zubehör, wordpad, dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
http://pastebin.com/
poste den download link.

  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

5

Tuesday, November 6th 2012, 1:19pm

Danke markusg!
Der Link lautet: http://pastebin.com/S1XDeBmQ

Leider habe ich etwas zu viel von deinem Beitrag in das Textfeld kopiert.
Ich hoffe dies macht nichts aus.

Grüße

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

6

Tuesday, November 6th 2012, 4:02pm

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Source code

1
2
3
4
5
6
7
8
9
10
11
12
:OTL
[2012/11/05 10:38:58 | 000,204,432 | ---- | M] () -- C:\Users\W\AppData\Roaming\AcroIEHelpe222.dll
[2012/11/05 10:38:58 | 000,007,720 | ---- | M] () -- C:\Users\W\AppData\Roaming\BAcroIEHelpe222.dll
[2012/10/31 00:06:44 | 000,000,000 | ---D | M] -- C:\Users\W\AppData\Roaming\07001.077
[2012/10/31 00:06:19 | 000,000,000 | ---D | M] -- C:\Users\W\AppData\Roaming\kock
[2012/10/31 00:06:20 | 000,000,000 | ---D | M] -- C:\Users\W\AppData\Roaming\xmldm
 :Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]




• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne bitte computer, c: _OTL rechtsklick auf moved files, mit winrar oder ähnlichem archivierungsprogramm packen.
hochalden bei:
www.file-upload.net
download link an mich als private nachicht.

  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

7

Tuesday, November 6th 2012, 4:28pm

Danke!
PN folgt.

Quoted

All processes killed
========== OTL ==========
C:\Users\W\AppData\Roaming\AcroIEHelpe222.dll moved successfully.
C:\Users\W\AppData\Roaming\BAcroIEHelpe222.dll moved successfully.
C:\Users\W\AppData\Roaming\07001.077\components folder moved successfully.
C:\Users\W\AppData\Roaming\07001.077 folder moved successfully.
C:\Users\W\AppData\Roaming\kock folder moved successfully.
C:\Users\W\AppData\Roaming\xmldm folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: W
->Flash cache emptied: 532 bytes

Total Flash Files Cleaned = 0.00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: W
->Temp folder emptied: 221031976 bytes
->Temporary Internet Files folder emptied: 97778757 bytes
->Java cache emptied: 11982886 bytes
->FireFox cache emptied: 80239836 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 280218201 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 659.00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 11062012_161922

Files\Folders moved on Reboot...
C:\Users\W\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

8

Tuesday, November 6th 2012, 4:37pm

hi
nutzt du den pc für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

9

Tuesday, November 6th 2012, 4:38pm

Ja, alles genannte.

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

10

Tuesday, November 6th 2012, 4:43pm

hi
bank anrufen, onlinebanking wegen trojan.multibanker bzw trojan.bankpatch sperren lassen.der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:
2. Formatieren, Windows neu instalieren:
3. PC absichern: http://www.trojaner-board.de/96344-anlei…g-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

11

Tuesday, November 6th 2012, 4:44pm

Gilt das auch für PayPal?

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

12

Tuesday, November 6th 2012, 4:45pm

was meinst du?
wenn du meinst, ob zugangsdaten geendert werden sollen, dass gilt für alle services.
sperren lassen auf jeden fall onlinebanking.

  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

13

Tuesday, November 6th 2012, 4:47pm

Vielen Dank.

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

14

Tuesday, November 6th 2012, 4:51pm

wenn noch fragen sind zum daten sichern bzw neu aufsetzen,melden
wenn nicht, gebe ich dir dann noch, wenn du fertig neu aufgesetzt hast, weitere sicherheits tipps

  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

15

Tuesday, November 6th 2012, 11:46pm

Kann ich Dateien aus meiner Dropbox auf den neu aufgesetzten PC rüber ziehen?

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

16

Wednesday, November 7th 2012, 12:23am

es ist nicht nötig, mir fragen hier, und per privater nachicht zu stellen.
du kannst die daten beibehalten, wenn sie aus legalen quellen stammen, und vertrauenswürdig sind, keine keygens zb

  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

17

Wednesday, November 7th 2012, 12:37am

Ich wollte mit dem Beitrag auch anderen Usern die Möglichkeit geben zu antworten.
War nicht als drängeln auf eine Antwort gemeint.
Vielen Dank für deine Hilfe bis hierhin!

  • "Ghost20" started this thread

Date of registration:
Nov 6th 2012

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

18

Monday, November 12th 2012, 12:17am

Hallo,
über die versprochenen weiteren Hinweise würde ich mich immer noch freuen.

Grüße