Avira findet BDS/ZAccess.AX.1 und TR/Kazy.63630

#1 Hallo Gemeinde, Servus Swiss...:-)

es ist rund ein Jahr vorbei und hier bin ich wieder...

Was ist passiert..??...bei der Suche nach Ferienhäuser bellte Avira Alarm und meldete die folgenden beiden Bösewichte...BDS/ZAccess.AX.1 und TR/Kazy.63630. Wegen dem Rootkit mache ich mir keine Sorgen. Wichtige Zugangsdaten zur Onlinebanking sind schon geändert worden....

Würde gerne um eine Formatierung des Notebooks herumkommen. Swiss...packen wir das auch so ???

Hier die Reporte von Avira:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. März 2012 23:00

Es wird nach 3571873 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PEBBLES

Versionsinformationen:
BUILD.DAT : 10.2.0.707 36070 Bytes 25.01.2012 12:53:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 02.07.2011 15:18:14
AVSCAN.DLL : 10.0.5.0 57192 Bytes 02.07.2011 15:18:14
LUKE.DLL : 10.3.0.5 45416 Bytes 02.07.2011 15:18:14
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 02.07.2011 15:18:15
AVREG.DLL : 10.3.0.9 88833 Bytes 20.07.2011 19:36:57
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:47:49
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:43:53
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 18:47:11
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:09:32
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 19:09:32
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 19:09:32
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 19:09:32
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 19:09:33
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 19:09:33
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 19:09:33
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 19:09:33
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 19:09:33
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 19:09:33
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 19:09:54
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 19:10:09
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 19:54:22
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 17:36:20
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 17:36:20
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 17:36:20
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 17:36:21
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 17:02:42
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 17:02:42
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 17:11:48
VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 09:52:21
VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 09:52:22
VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 09:52:22
VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 09:52:23
VBASE027.VDF : 7.11.25.122 2048 Bytes 15.03.2012 09:52:23
VBASE028.VDF : 7.11.25.123 2048 Bytes 15.03.2012 09:52:23
VBASE029.VDF : 7.11.25.124 2048 Bytes 15.03.2012 09:52:23
VBASE030.VDF : 7.11.25.125 2048 Bytes 15.03.2012 09:52:23
VBASE031.VDF : 7.11.25.146 107520 Bytes 18.03.2012 21:32:56
Engineversion : 8.2.10.24
AEVDF.DLL : 8.1.2.2 106868 Bytes 30.10.2011 18:57:34
AESCRIPT.DLL : 8.1.4.10 455035 Bytes 16.03.2012 09:52:30
AESCN.DLL : 8.1.8.2 131444 Bytes 29.01.2012 20:09:28
AESBX.DLL : 8.2.5.5 606579 Bytes 16.03.2012 09:52:31
AERDL.DLL : 8.1.9.15 639348 Bytes 13.09.2011 18:28:39
AEPACK.DLL : 8.2.16.5 803190 Bytes 16.03.2012 09:52:30
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 03.01.2012 19:22:42
AEHEUR.DLL : 8.1.4.7 4501878 Bytes 18.03.2012 21:32:59
AEHELP.DLL : 8.1.19.0 254327 Bytes 29.01.2012 20:09:26
AEGEN.DLL : 8.1.5.23 409973 Bytes 16.03.2012 09:52:25
AEEXP.DLL : 8.1.0.25 74101 Bytes 16.03.2012 09:52:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.12.2010 13:36:56
AECORE.DLL : 8.1.25.6 201078 Bytes 16.03.2012 09:52:24
AEBB.DLL : 8.1.1.0 53618 Bytes 05.05.2010 15:53:49
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 02.07.2011 15:18:14
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 18:47:17
AVARKT.DLL : 10.0.26.1 255336 Bytes 02.07.2011 15:18:14
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 02.07.2011 15:18:14
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 02.07.2011 15:18:13
RCTEXT.DLL : 10.0.64.0 98664 Bytes 02.07.2011 15:18:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f97aa44\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Mittwoch, 28. März 2012 23:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BF20.tmp' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CEC_MAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD8Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'traybar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GregHSRW.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Mamita\AppData\Local\88d837b3\X'
C:\Users\Mamita\AppData\Local\88d837b3\X
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZAccess.AX.1

Beginne mit der Desinfektion:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\Mamita\AppData\Local\88d837b3\X
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZAccess.AX.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4affdd32.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 28. März 2012 23:01
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
24 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
23 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. März 2012 21:43

Es wird nach 3557923 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PEBBLES

Versionsinformationen:
BUILD.DAT : 10.2.0.707 36070 Bytes 25.01.2012 12:53:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 02.07.2011 15:18:14
AVSCAN.DLL : 10.0.5.0 57192 Bytes 02.07.2011 15:18:14
LUKE.DLL : 10.3.0.5 45416 Bytes 02.07.2011 15:18:14
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 02.07.2011 15:18:15
AVREG.DLL : 10.3.0.9 88833 Bytes 20.07.2011 19:36:57
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:47:49
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:43:53
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 18:47:11
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 19:09:32
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 19:40:28
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 19:40:28
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 19:40:29
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 19:40:29
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 19:40:29
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 19:40:29
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 19:40:29
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 19:40:30
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 19:40:30
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 19:40:30
VBASE014.VDF : 7.11.26.54 2048 Bytes 28.03.2012 19:40:30
VBASE015.VDF : 7.11.26.55 2048 Bytes 28.03.2012 19:40:30
VBASE016.VDF : 7.11.26.56 2048 Bytes 28.03.2012 19:40:30
VBASE017.VDF : 7.11.26.57 2048 Bytes 28.03.2012 19:40:32
VBASE018.VDF : 7.11.26.58 2048 Bytes 28.03.2012 19:40:32
VBASE019.VDF : 7.11.26.59 2048 Bytes 28.03.2012 19:40:32
VBASE020.VDF : 7.11.26.60 2048 Bytes 28.03.2012 19:40:32
VBASE021.VDF : 7.11.26.61 2048 Bytes 28.03.2012 19:40:32
VBASE022.VDF : 7.11.26.62 2048 Bytes 28.03.2012 19:40:32
VBASE023.VDF : 7.11.26.63 2048 Bytes 28.03.2012 19:40:32
VBASE024.VDF : 7.11.26.64 2048 Bytes 28.03.2012 19:40:33
VBASE025.VDF : 7.11.26.65 2048 Bytes 28.03.2012 19:40:33
VBASE026.VDF : 7.11.26.66 2048 Bytes 28.03.2012 19:40:33
VBASE027.VDF : 7.11.26.67 2048 Bytes 28.03.2012 19:40:33
VBASE028.VDF : 7.11.26.68 2048 Bytes 28.03.2012 19:40:33
VBASE029.VDF : 7.11.26.69 2048 Bytes 28.03.2012 19:40:33
VBASE030.VDF : 7.11.26.70 2048 Bytes 28.03.2012 19:40:33
VBASE031.VDF : 7.11.26.94 203776 Bytes 29.03.2012 19:40:38
Engineversion : 8.2.10.28
AEVDF.DLL : 8.1.2.2 106868 Bytes 30.10.2011 18:57:34
AESCRIPT.DLL : 8.1.4.13 442746 Bytes 29.03.2012 19:42:07
AESCN.DLL : 8.1.8.2 131444 Bytes 29.01.2012 20:09:28
AESBX.DLL : 8.2.5.5 606579 Bytes 16.03.2012 09:52:31
AERDL.DLL : 8.1.9.15 639348 Bytes 13.09.2011 18:28:39
AEPACK.DLL : 8.2.16.7 803190 Bytes 29.03.2012 19:41:59
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 03.01.2012 19:22:42
AEHEUR.DLL : 8.1.4.8 4514165 Bytes 29.03.2012 19:41:39
AEHELP.DLL : 8.1.19.0 254327 Bytes 29.01.2012 20:09:26
AEGEN.DLL : 8.1.5.23 409973 Bytes 16.03.2012 09:52:25
AEEXP.DLL : 8.1.0.25 74101 Bytes 16.03.2012 09:52:31
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.12.2010 13:36:56
AECORE.DLL : 8.1.25.6 201078 Bytes 16.03.2012 09:52:24
AEBB.DLL : 8.1.1.0 53618 Bytes 05.05.2010 15:53:49
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 02.07.2011 15:18:14
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 18:47:17
AVARKT.DLL : 10.0.26.1 255336 Bytes 02.07.2011 15:18:14
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 02.07.2011 15:18:14
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 02.07.2011 15:18:13
RCTEXT.DLL : 10.0.64.0 98664 Bytes 02.07.2011 15:18:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 29. März 2012 21:43

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'CEC_MAIN.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD8Serv.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'traybar.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'BackupManagerTray.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'GregHSRW.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '49' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '187' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Packard Bell>
C:\Users\Mamita\AppData\Local\Temp\BF20.tmp
[FUND] Ist das Trojanische Pferd TR/Kazy.63630
C:\Users\Mamita\AppData\Local\Temp\msimg32.dll
[FUND] Ist das Trojanische Pferd TR/Kazy.63630
C:\Users\Mamita\AppData\Local\Temp\Temporary Internet Files\Content.IE5\LWZBYY38\5[1].exe
[FUND] Ist das Trojanische Pferd TR/Kazy.63630

Beginne mit der Desinfektion:
C:\Users\Mamita\AppData\Local\Temp\Temporary Internet Files\Content.IE5\LWZBYY38\5[1].exe
[FUND] Ist das Trojanische Pferd TR/Kazy.63630
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496ee1aa.qua' verschoben!
C:\Users\Mamita\AppData\Local\Temp\msimg32.dll
[FUND] Ist das Trojanische Pferd TR/Kazy.63630
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5181cfe5.qua' verschoben!
C:\Users\Mamita\AppData\Local\Temp\BF20.tmp
[FUND] Ist das Trojanische Pferd TR/Kazy.63630
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03a794f0.qua' verschoben!


Ende des Suchlaufs: Freitag, 30. März 2012 07:12
Benötigte Zeit: 1:05:46 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

33840 Verzeichnisse wurden überprüft
483585 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
483582 Dateien ohne Befall
4028 Archive wurden durchsucht
0 Warnungen
3 Hinweise
447989 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

#2 Herzlich Willkommen auf dem Protecus Forum

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte Malwarebytes
• Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

#3 Hallo Swiss,
Danke für deine Hilfe, hoffe Dir gehts gut!

Problem 1 gleich nach dem Download von Malwarebytes....beim installieren kommt folgende
Fehlermeldung: Interner Fehler: Failed to expand shell folder constand "userappdata"

Gruss Abbo

#4 Führe das ganze im abgesicherten Modus durch:



• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

#5 ...leider das gleiche Ergebnis und die selbe Fehlermeldung.

Gruss Abbo

#6 Melde mich heute Abend wieder

#7 Guten Morgen Swiss,
...in der Ruhe liegt die Kraft!! :-)
Gruss Abbo

#8 Unbootbares System mit OTLPE Network scannen

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.

Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

• Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast.
Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hier.
• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.



• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet.
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread.

Falls Du kein Brennprogramm hast:

ISOBurner
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Instructions.

#9 Hallo Swiss,

Danke für deine Mühe, ich bin über Ostern mit der Family im Kurzurlaub. Kann daher hier erst am kommenden Dienstag Abend weitermachen.

Wünsche Dir, dem Team und allen hier mit "Schädlingsbefall" ein paar erholsame und ruhige Osterfeiertage.

Gruss

Abbo

#10 Ja das wünschen Wir Dir und der Familie auch

#11 Moin Swiss,

eine Frage drängt sich mir noch auf...wenn Avira den ZAccess und den TR/Kazy in Quarantäne, wie im Log verzeichnet, verschoben hat...ist es denkbar, das die Schadprogramme noch keinen Unfug mit den Rechnerdaten anstellen konnten ??

Natürlich auf Frohe Ostern an die Swiss-Familie..;-)

Gruss Abbo

#12 Ja das ist gut Möglich. Es muss nicht sein, dass nach der Infektion bereits Handlungen vorgenommen wurden.

#13 Hallo Swiss,

es kann weitergehen..;-)

OTLPE auf CD gebrannt, Bios aufgerufen und die CD zum booten gebracht...soweit so gut.

Reatogo-x-pe ist gestartet..nach doppelklick auf das OTLPE-Icon ...öffnet sich für ne halbe Sekunde sowas wie ein DOS-Eingabefenster...danach kommt ein Fenster mit Titel "Browse for Folder" und den folgenden Laufwerksauflistungen:
My Computer
RAMDisc B:
SYSTEM RESERVED C:
Packard Bell D:
ReatogoPE X:
und ein Ordner mit Namen Shared Documents

...da ich nicht herum experimentieren will, frage ich lieber ...welches Laufwerk muss ich auswählen das OTLPE startet ??

Gruss Abbo

#14 Nimm ReatogoPE X:

#15 Hallo Swiss,

nach Doppelklick auf den OTLPE Icon auf dem Desptop, klick ich mich fröhlich durch die Verzeichnisse bis zum Programm OTLPE, nach dem letzten Doppelklick kommt Meldung im
Fenster RunScanner Error mit dem Text:

Target ist not Windows 200 or later

Edit: ..gerade auf dem Desktop einen Ordner mit dem Namen %APPDATA% gefunden. Gehört der da hin ?

Gruss Abbo