Ergebnis 1 bis 10 von 10
  1. #1
    Einsteiger
    Registriert seit
    03.07.2012
    Beiträge
    5

    GVU-Trojaner, nur bei Online-Nutzung (Windows VISTA)

    Hallo,

    ich habe mir kürzlich ebenfalls den GVU-Trojaner eingefangen. Der Rechner (Windows VISTA Home Premium) funktioniert solange normal, bis ich WLAN aktiviere und versuche, ins Internet zu gehen. Dann poppt der bekannte Sperr-Bildschirm auf und es hilft nur noch, den Rechner neu zu starten.

    Mit Avira habe ich einen kompletten Scan durchgeführt und die Funde entfernt. Die entsprechende Log-Datei dazu im Anhang. Malwarebytes findet nun weder beim Quick- noch beim Voll-Scan etwas. Das Problem besteht allerdings weiterhin.

    Den OTL-Scan habe ich ebenfalls durchgeführt, die OTL.txt und Extras.txt habe ich auch angehängt.

    Wäre super, wenn ich hier fachkundige Hilfe bekommen könnte.

    Besten Dank schon einmal vorab!!!

    ptrfb
    Angehängte Dateien Angehängte Dateien

  2. #2
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    5.141
    Hallo ptrfb,

    Fixen mit OTL

    Hiermit fixen wir unnötige oder schädliche Einträge.

    Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
    • Starte die OTL.exe.
      Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
    • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

    Code:
    :OTL
    MOD - [2012.07.02 21:27:30 | 000,179,872 | ---- | M] () -- C:\Users\****\AppData\Local\Temp\0_0u_l.exe
    O4 - HKU\.DEFAULT..\Run: [fsc-reg] c:\fsc-reg\fscreg.exe File not found
    O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
    O4 - HKU\S-1-5-18..\Run: [fsc-reg] c:\fsc-reg\fscreg.exe File not found
    [2012.07.04 22:20:02 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
    [2012.07.04 22:08:21 | 004,503,728 | ---- | M] () -- C:\ProgramData\l_u0_0.pad
    [2012.07.04 22:07:13 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
    [2012.07.02 21:27:31 | 000,001,720 | ---- | M] () -- C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
    [2012.07.02 21:27:31 | 004,503,728 | ---- | C] () -- C:\ProgramData\l_u0_0.pad
    [2012.07.02 21:27:31 | 000,001,720 | ---- | C] () -- C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
    :Commands
    [emptytemp]
    • Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
    • Klicke auf den Fix Button.
    • Wenn OTL einen Neustart verlangt, bitte zulassen.
    • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
      Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>


    Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

    Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

    Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan nach dieser Anleitung und poste das Logfile hier in den Thread.

    (Vista/Win7-User: mit Rechtsklick als Administrator starten)

    Tschau

  3. #3
    Einsteiger
    Registriert seit
    03.07.2012
    Beiträge
    5
    Hallo oldi-40,

    danke für deine Hilfe. Hier das OTL-Logfile:

    Code:
    All processes killed
    ========== OTL ==========
    Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\fsc-reg deleted successfully.
    Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\Picasa Media Detector deleted successfully.
    Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\fsc-reg not found.
    C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job moved successfully.
    C:\ProgramData\l_u0_0.pad moved successfully.
    C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job moved successfully.
    File C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
    File C:\ProgramData\l_u0_0.pad not found.
    File C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
    ========== COMMANDS ==========
     
    [EMPTYTEMP]
     
    User: All Users
     
    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 41 bytes
     
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes
     
    User: ****
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 162259447 bytes
    ->Java cache emptied: 54929873 bytes
    ->FireFox cache emptied: 49479164 bytes
    ->Flash cache emptied: 547 bytes
     
    User: Public
     
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 279440 bytes
    Windows Temp folder emptied: 1031822 bytes
    RecycleBin emptied: 10063000 bytes
     
    Total Files Cleaned = 265,00 mb
     
     
    OTL by OldTimer - Version 3.2.53.1 log created on 07052012_213209
    
    Files\Folders moved on Reboot...
    C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
    File\Folder C:\Windows\temp\ZLT01eff.TMP not found!
    
    PendingFileRenameOperations files...
    File C:\Users\****\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat not found!
    File C:\Windows\temp\ZLT01eff.TMP not found!
    
    Registry entries deleted on Reboot...
    Auch den Komplettscan habe ich gemacht. Hier das Logfile dazu:

    Code:
    Malwarebytes Anti-Malware (Test) 1.61.0.1400
    www.malwarebytes.org
    
    Datenbank Version: v2012.04.04.08
    
    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    PeFo :: PEFO-PC [Administrator]
    
    Schutz: Aktiviert
    
    05.07.2012 21:38:19
    mbam-log-2012-07-05 (21-38-19).txt
    
    Art des Suchlaufs: Vollständiger Suchlauf
    Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
    Deaktivierte Suchlaufeinstellungen: P2P
    Durchsuchte Objekte: 354622
    Laufzeit: 2 Stunde(n), 1 Minute(n), 51 Sekunde(n)
    
    Infizierte Speicherprozesse: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungswerte: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien: 0
    (Keine bösartigen Objekte gefunden)
    
    (Ende)
    Besten Dank & Gruß

    ptrfb

  4. #4
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    5.141
    Hallo ptrfb,

    dein mbam-Log ist nicht so der Brüller.

    Mache das nochmal, denke dabei an das Update vor dem Scan.

    Tschau

  5. #5
    Einsteiger
    Registriert seit
    03.07.2012
    Beiträge
    5
    Hallo oldi-40,

    kann ich denn nun schon wieder online gehen um Malwarebytes zu updaten? Oder bekomme ich die aktuellste Datenbank dafür irgendwie anders auf meinen Rechner?

    Danke & Gruß
    ptrfb

  6. #6
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    5.141
    Hallo ptrfb,

    kann ich denn nun schon wieder online gehen um Malwarebytes zu updaten?
    Vielleicht, probiere es doch einfach aus.

    Dieser Teil des Fixes ist auch falsch.
    Code:
    File C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
    Die Sterne mußt Du mit dem richtigen Namen ersetzen.

    Tschau

  7. #7
    Einsteiger
    Registriert seit
    03.07.2012
    Beiträge
    5
    Hallo oldi-40,

    den OTL-Fix hab ich jetzt nochmal gemacht, inkl. Benutzernamen. Hier das Logfile dazu:

    Code:
    All processes killed
    ========== OTL ==========
    Releasing module C:\Users\PeFo\AppData\Local\Temp\0_0u_l.exe
    C:\Users\PeFo\AppData\Local\Temp\0_0u_l.exe moved successfully.
    Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\fsc-reg not found.
    Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\Picasa Media Detector not found.
    Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\fsc-reg not found.
    File C:\Windows\tasks\GoogleUpdateTaskMachineCore.job not found.
    C:\ProgramData\l_u0_0.pad moved successfully.
    File C:\Windows\tasks\GoogleUpdateTaskMachineUA.job not found.
    C:\Users\PeFo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.
    File C:\ProgramData\l_u0_0.pad not found.
    File C:\Users\PeFo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
    ========== COMMANDS ==========
     
    [EMPTYTEMP]
     
    User: All Users
     
    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes
     
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes
     
    User: PeFo
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 393081 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 0 bytes
    ->Flash cache emptied: 0 bytes
     
    User: Public
     
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 994854 bytes
    RecycleBin emptied: 0 bytes
     
    Total Files Cleaned = 1,00 mb
     
     
    OTL by OldTimer - Version 3.2.53.1 log created on 07062012_182211
    
    Files\Folders moved on Reboot...
    C:\Users\PeFo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
    File\Folder C:\Windows\temp\ZLT05f24.TMP not found!
    
    PendingFileRenameOperations files...
    File C:\Users\PeFo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat not found!
    File C:\Windows\temp\ZLT05f24.TMP not found!
    
    Registry entries deleted on Reboot...
    Malwarebytes konnte ich ebenfalls updaten, es wurden 8 infizierte Objekte gefunden und entfernt. Hier das Logfile dazu:

    Code:
    Malwarebytes Anti-Malware (Test) 1.61.0.1400
    www.malwarebytes.org
    
    Datenbank Version: v2012.07.06.09
    
    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    **** :: ****-PC [Administrator]
    
    Schutz: Aktiviert
    
    07.07.2012 11:56:57
    mbam-log-2012-07-07 (11-56-57).txt
    
    Art des Suchlaufs: Vollständiger Suchlauf
    Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
    Deaktivierte Suchlaufeinstellungen: P2P
    Durchsuchte Objekte: 367658
    Laufzeit: 1 Stunde(n), 58 Minute(n), 14 Sekunde(n)
    
    Infizierte Speicherprozesse: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel: 6
    HKCR\CLSID\{EF06946E-DF9F-42FA-A012-AF242B2F0072} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EF06946E-DF9F-42FA-A012-AF242B2F0072} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EF06946E-DF9F-42FA-A012-AF242B2F0072} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF06946E-DF9F-42FA-A012-AF242B2F0072} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    HKCR\TypeLib\{C2CF0D01-7657-48AA-98C9-AE5E64757FCC} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    HKCR\Interface\{BBA74401-6D6F-4BBD-9F65-E8623814F3BB} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    
    Infizierte Registrierungswerte: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse: 0
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien: 2
    C:\ProgramData\CodecC\bhoclass.dll (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    C:\_OTL\MovedFiles\07062012_182211\C_Users\****\AppData\Local\Temp\0_0u_l.exe (Spyware.Zbot.DG) -> Erfolgreich gelöscht und in Quarantäne gestellt.
    
    (Ende)
    Besten Dank für deine Hilfe. Bislang ist der Trojaner nicht wieder aufgepoppt. Wahrscheinlich sollte man das Betriebssystem sicherheitshalber aber trotzdem neu aufsetzen?

    Gruß
    ptrfb

  8. #8
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    5.141
    Hallo ptrfb,

    Bislang ist der Trojaner nicht wieder aufgepoppt.


    Den Trojaner hast Du zweimal gekillt.

    Wahrscheinlich sollte man das Betriebssystem sicherheitshalber aber trotzdem neu aufsetzen?
    Klar ist das am Besten.
    Sinn und Zweck des Entsperrens ist, dir den Zugriff auf deine Daten zu geben.

    Absicherung des Rechners

    Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu

    Lesenswerte Blogeinträge zum Thema Absicherung

    Malware entfernt? Was nun?
    Wie mache ich mein Windows sicher?
    Wie kann ich mein System in Zukunft von Malware frei halten?
    Wie kann ich prüfen, ob meine Software aktuell ist?
    Mozilla Plugins aktuell? Hier prüfen!
    DNS manipuliert?

    Datensicherung

    Tschau

  9. #9
    Einsteiger
    Registriert seit
    03.07.2012
    Beiträge
    5
    Hallo oldi-40,

    einen Fund hat es nach dem AV-Scan noch gegeben Hier der Report dazu:

    Code:
    Avira Free Antivirus
    Erstellungsdatum der Reportdatei: Sonntag, 8. Juli 2012  20:04
    
    Es wird nach 3849144 Virenstämmen gesucht.
    
    Das Programm läuft als uneingeschränkte Vollversion.
    Online-Dienste stehen zur Verfügung.
    
    Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
    Seriennummer   : 0000149996-ADJIE-0000001
    Plattform      : Windows Vista (TM) Home Premium
    Windowsversion : (Service Pack 2)  [6.0.6002]
    Boot Modus     : Normal gebootet
    Benutzername   : SYSTEM
    Computername   : ****-PC
    
    Versionsinformationen:
    BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
    AVSCAN.EXE     : 12.3.0.15     466896 Bytes  09.05.2012 18:21:30
    AVSCAN.DLL     : 12.3.0.15      66256 Bytes  09.05.2012 18:21:30
    LUKE.DLL       : 12.3.0.15      68304 Bytes  09.05.2012 18:21:33
    AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  09.05.2012 18:21:34
    AVREG.DLL      : 12.3.0.17     232200 Bytes  14.05.2012 17:51:30
    VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
    VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
    VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 19:40:39
    VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 19:05:48
    VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 17:59:16
    VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 16:23:43
    VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 16:23:43
    VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 16:23:43
    VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 16:23:43
    VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 16:23:43
    VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 16:23:43
    VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 16:23:43
    VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 16:23:43
    VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 16:23:43
    VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 14:48:16
    VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 14:48:16
    VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 14:48:17
    VBASE017.VDF   : 7.11.35.88      2048 Bytes  06.07.2012 14:48:17
    VBASE018.VDF   : 7.11.35.89      2048 Bytes  06.07.2012 14:48:17
    VBASE019.VDF   : 7.11.35.90      2048 Bytes  06.07.2012 14:48:17
    VBASE020.VDF   : 7.11.35.91      2048 Bytes  06.07.2012 14:48:17
    VBASE021.VDF   : 7.11.35.92      2048 Bytes  06.07.2012 14:48:17
    VBASE022.VDF   : 7.11.35.93      2048 Bytes  06.07.2012 14:48:17
    VBASE023.VDF   : 7.11.35.94      2048 Bytes  06.07.2012 14:48:17
    VBASE024.VDF   : 7.11.35.95      2048 Bytes  06.07.2012 14:48:17
    VBASE025.VDF   : 7.11.35.96      2048 Bytes  06.07.2012 14:48:17
    VBASE026.VDF   : 7.11.35.97      2048 Bytes  06.07.2012 14:48:17
    VBASE027.VDF   : 7.11.35.98      2048 Bytes  06.07.2012 14:48:17
    VBASE028.VDF   : 7.11.35.99      2048 Bytes  06.07.2012 14:48:17
    VBASE029.VDF   : 7.11.35.100     2048 Bytes  06.07.2012 14:48:17
    VBASE030.VDF   : 7.11.35.101     2048 Bytes  06.07.2012 14:48:17
    VBASE031.VDF   : 7.11.35.128    64000 Bytes  08.07.2012 14:48:17
    Engineversion  : 8.2.10.106
    AEVDF.DLL      : 8.1.2.8       106867 Bytes  03.06.2012 12:30:08
    AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  08.07.2012 14:48:27
    AESCN.DLL      : 8.1.8.2       131444 Bytes  01.02.2012 19:08:28
    AESBX.DLL      : 8.2.5.12      606578 Bytes  16.06.2012 16:30:38
    AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
    AEPACK.DLL     : 8.2.16.22     807288 Bytes  21.06.2012 18:23:48
    AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  30.06.2012 16:24:14
    AEHEUR.DLL     : 8.1.4.64     5009782 Bytes  08.07.2012 14:48:27
    AEHELP.DLL     : 8.1.23.2      258422 Bytes  30.06.2012 16:23:49
    AEGEN.DLL      : 8.1.5.32      434548 Bytes  08.07.2012 14:48:21
    AEEXP.DLL      : 8.1.0.60       86388 Bytes  08.07.2012 14:48:28
    AEEMU.DLL      : 8.1.3.0       393589 Bytes  01.09.2011 22:46:01
    AECORE.DLL     : 8.1.25.10     201080 Bytes  03.06.2012 12:30:03
    AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
    AVWINLL.DLL    : 12.3.0.15      27344 Bytes  09.05.2012 18:21:28
    AVPREF.DLL     : 12.3.0.15      51920 Bytes  09.05.2012 18:21:30
    AVREP.DLL      : 12.3.0.15     179208 Bytes  09.05.2012 18:21:34
    AVARKT.DLL     : 12.3.0.15     211408 Bytes  09.05.2012 18:21:28
    AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  09.05.2012 18:21:29
    SQLITE3.DLL    : 3.7.0.1       398288 Bytes  09.05.2012 18:21:33
    AVSMTP.DLL     : 12.3.0.15      63440 Bytes  09.05.2012 18:21:30
    NETNT.DLL      : 12.3.0.15      17104 Bytes  09.05.2012 18:21:33
    RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  09.05.2012 18:21:28
    RCTEXT.DLL     : 12.3.0.15      98512 Bytes  09.05.2012 18:21:28
    
    Konfiguration für den aktuellen Suchlauf:
    Job Name..............................: Vollständige Systemprüfung
    Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
    Protokollierung.......................: standard
    Primäre Aktion........................: interaktiv
    Sekundäre Aktion......................: ignorieren
    Durchsuche Masterbootsektoren.........: ein
    Durchsuche Bootsektoren...............: ein
    Bootsektoren..........................: C:, D:, 
    Durchsuche aktive Programme...........: ein
    Laufende Programme erweitert..........: ein
    Durchsuche Registrierung..............: ein
    Suche nach Rootkits...................: ein
    Integritätsprüfung von Systemdateien..: aus
    Datei Suchmodus.......................: Alle Dateien
    Durchsuche Archive....................: ein
    Rekursionstiefe einschränken..........: 20
    Archiv Smart Extensions...............: ein
    Makrovirenheuristik...................: ein
    Dateiheuristik........................: erweitert
    
    Beginn des Suchlaufs: Sonntag, 8. Juli 2012  20:04
    
    Der Suchlauf über die Masterbootsektoren wird begonnen:
    Masterbootsektor HD0
        [INFO]      Es wurde kein Virus gefunden!
    
    Der Suchlauf über die Bootsektoren wird begonnen:
    Bootsektor 'C:\'
        [INFO]      Es wurde kein Virus gefunden!
    Bootsektor 'D:\'
        [INFO]      Es wurde kein Virus gefunden!
    
    Der Suchlauf nach versteckten Objekten wird begonnen.
    
    Der Suchlauf über gestartete Prozesse wird begonnen:
    Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
    Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avscan.exe' - '78' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
    Durchsuche Prozess 'mbamservice.exe' - '45' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SynTPEnh.exe' - '28' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
    Durchsuche Prozess 'WisLMSvc.exe' - '32' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wmpnetwk.exe' - '71' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
    Durchsuche Prozess 'CCC.exe' - '175' Modul(e) wurden durchsucht
    Durchsuche Prozess 'Dropbox.exe' - '60' Modul(e) wurden durchsucht
    Durchsuche Prozess 'Moveslink.exe' - '57' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht
    Durchsuche Prozess 'realsched.exe' - '33' Modul(e) wurden durchsucht
    Durchsuche Prozess 'GoogleUpdate.exe' - '49' Modul(e) wurden durchsucht
    Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
    Durchsuche Prozess 'mbamgui.exe' - '33' Modul(e) wurden durchsucht
    Durchsuche Prozess 'MOM.exe' - '54' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
    Durchsuche Prozess 'OSD.exe' - '30' Modul(e) wurden durchsucht
    Durchsuche Prozess 'WisKeyState.exe' - '22' Modul(e) wurden durchsucht
    Durchsuche Prozess 'HotkeyApp.exe' - '55' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SynTPStart.exe' - '24' Modul(e) wurden durchsucht
    Durchsuche Prozess 'RtHDVCpl.exe' - '47' Modul(e) wurden durchsucht
    Durchsuche Prozess 'MSASCui.exe' - '41' Modul(e) wurden durchsucht
    Durchsuche Prozess 'taskeng.exe' - '65' Modul(e) wurden durchsucht
    Durchsuche Prozess 'Explorer.EXE' - '160' Modul(e) wurden durchsucht
    Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
    Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht
    Durchsuche Prozess 'TUProgSt.exe' - '26' Modul(e) wurden durchsucht
    Durchsuche Prozess 'TestHandler.exe' - '31' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
    Durchsuche Prozess 'NBService.exe' - '40' Modul(e) wurden durchsucht
    Durchsuche Prozess 'FSCWBaseUpdaterService.exe' - '86' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
    Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
    Durchsuche Prozess 'spoolsv.exe' - '87' Modul(e) wurden durchsucht
    Durchsuche Prozess 'IswSvc.exe' - '66' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
    Durchsuche Prozess 'Ati2evxx.exe' - '35' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht
    Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '151' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '118' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
    Durchsuche Prozess 'Ati2evxx.exe' - '33' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
    Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
    Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
    Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
    Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
    Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
    Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
    Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
    Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
    
    Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
    Die Registry wurde durchsucht ( '2489' Dateien ).
    
    
    Der Suchlauf über die ausgewählten Dateien wird begonnen:
    
    Beginne mit der Suche in 'C:\' <SYSTEM>
    C:\Program Files\TuneUp Utilities 2009\Data\VistaDefault.tbs
      [WARNUNG]   Der Archivheader ist defekt
    C:\Program Files\TuneUp Utilities 2009\Data\VistaDefault.tla
      [WARNUNG]   Der Archivheader ist defekt
    C:\Program Files\TuneUp Utilities 2009\Data\VistaDefault.tls
      [WARNUNG]   Der Archivheader ist defekt
    C:\Users\****\AppData\Local\Temp\V.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.AW
    C:\Users\****\Downloads\#ignore\050.mb
      [WARNUNG]   Das gesamte Archiv ist kennwortgeschützt
    C:\Users\****\Downloads\#ignore\060.mb
      [WARNUNG]   Das gesamte Archiv ist kennwortgeschützt
    C:\Windows\SoftwareDistribution\Download\81c127b83ea2ccb30af2f41597b106e7\BIT3EC8.tmp
      [WARNUNG]   Die komprimierten Daten sind fehlerhaft
    Beginne mit der Suche in 'D:\' <DATA>
    
    Beginne mit der Desinfektion:
    C:\Users\****\AppData\Local\Temp\V.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.AW
      [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55ec7d88.qua' verschoben!
    
    
    Ende des Suchlaufs: Sonntag, 8. Juli 2012  21:22
    Benötigte Zeit:  1:16:39 Stunde(n)
    
    Der Suchlauf wurde vollständig durchgeführt.
    
      25690 Verzeichnisse wurden überprüft
     359443 Dateien wurden geprüft
          1 Viren bzw. unerwünschte Programme wurden gefunden
          0 Dateien wurden als verdächtig eingestuft
          0 Dateien wurden gelöscht
          0 Viren bzw. unerwünschte Programme wurden repariert
          1 Dateien wurden in die Quarantäne verschoben
          0 Dateien wurden umbenannt
          0 Dateien konnten nicht durchsucht werden
     359442 Dateien ohne Befall
       3276 Archive wurden durchsucht
          6 Warnungen
          1 Hinweise
     662563 Objekte wurden beim Rootkitscan durchsucht
          0 Versteckte Objekte wurden gefunden
    Der Fund wurde in Quarantäne verschoben. Besten Dank für deine Tipps zum weiteren Vorgehen.

    Gruß
    ptrfb

  10. #10
    Moderator
    Registriert seit
    21.01.2012
    Ort
    Osthessen
    Beiträge
    5.141
    Hallo ptrfb,

    TuneUp Utilities 2009
    empfehle ich nicht.
    AppData\Local\Temp\V.class
    Auf einem aktuellen System juckt das niemand.

    Ich lasse den Faden noch ein paar Tage auf. Bei Problemen kannst Du hier posten.

    Tschau

Ähnliche Themen

  1. Antworten: 14
    Letzter Beitrag: 04.06.2013, 21:44
  2. Online Scan mit ESET Online Scanner - Infected Files
    Von 99internet99 im Forum Windows
    Antworten: 11
    Letzter Beitrag: 18.05.2013, 14:39
  3. mißbräuchliche Nutzung einer mailbox
    Von hanneCaro im Forum Windows
    Antworten: 1
    Letzter Beitrag: 09.04.2013, 20:30
  4. GvU Trojaner, Windows XP, nur wenn online
    Von BelloBaer im Forum Archiv
    Antworten: 5
    Letzter Beitrag: 01.10.2012, 22:26
  5. Windows 7 GVU Online Trojaner
    Von Sword im Forum Gelöst / Rechner bereinigt
    Antworten: 10
    Letzter Beitrag: 09.07.2012, 17:15

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
G Data
forum.botfrei.de wird überprüft von der Initiative-S