Dropper+Worm

Hallo

bei einem Bekannten sind bei einem Avira Systemscan mehrere Viren gefunden worden. Im Anhang ist die Reportdatei. Die MAlware wurde bereits aus dfer Quarantäne gelöscht.
Ist er nun sauber?

mfg Kila

Edit: bekomme die Datei net hoch.
Deswegen hier:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 31. Oktober 2008 16:19

Es wird nach 1001710 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: NOBODY

Versionsinformationen:
BUILD.DAT : 8.2.0.334 16933 Bytes 16.10.2008 14:53:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 08:32:37
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 08:32:37
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 08:32:37
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 08:32:37
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 13:02:05
ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31.10.2008 15:18:39
ANTIVIR2.VDF : 7.1.0.22 2048 Bytes 31.10.2008 15:18:40
ANTIVIR3.VDF : 7.1.0.26 14848 Bytes 31.10.2008 15:18:41
Engineversion : 8.2.0.10
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 16:30:17
AESCRIPT.DLL : 8.1.1.9 319867 Bytes 16.10.2008 20:55:27
AESCN.DLL : 8.1.1.3 123252 Bytes 15.10.2008 16:30:15
AERDL.DLL : 8.1.1.2 438644 Bytes 19.09.2008 15:04:01
AEPACK.DLL : 8.1.2.4 369014 Bytes 15.10.2008 16:30:14
AEOFFICE.DLL : 8.1.0.29 196988 Bytes 24.10.2008 07:17:31
AEHEUR.DLL : 8.1.0.63 1479032 Bytes 24.10.2008 07:17:30
AEHELP.DLL : 8.1.1.2 115062 Bytes 15.10.2008 16:30:12
AEGEN.DLL : 8.1.0.42 319861 Bytes 24.10.2008 20:30:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 16:30:10
AECORE.DLL : 8.1.2.9 172407 Bytes 29.10.2008 23:30:43
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 16:30:08
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 08:32:37
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 08:32:37
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 16:36:05
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 08:32:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 08:32:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 08:32:37
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 08:32:35
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 08:32:35

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 31. Oktober 2008 16:19

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '78740' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctspk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WATCH.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CalCheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aonUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aonMessageCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StatusClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '59' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\ERNST\Lokale Einstellungen\Temp\_hpcdb.exe
[0] Archivtyp: RSRC
--> Object
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497b2403.qua' verschoben!
C:\Programme\Xpage Internet Studio 6 Special Edition\patterns\04.xpat
[0] Archivtyp: ZIP
--> 1.template
[1] Archivtyp: MacBinary
--> Kopfleiste
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Programme\Xpage Internet Studio 6 Special Edition\patterns\08.xpat
[0] Archivtyp: ZIP
--> 0.template
[1] Archivtyp: MacBinary
--> Navigation
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Programme\Xpage Internet Studio 6 Special Edition\patterns\11.xpat
[0] Archivtyp: ZIP
--> 0.template
[1] Archivtyp: MacBinary
--> Navigation
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\System Volume Information\_restore{8D28B302-327F-486D-A185-23137C5F1CA8}\RP447\A0122937.EXE
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Luder.E.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493c27d9.qua' verschoben!
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>


Ende des Suchlaufs: Freitag, 31. Oktober 2008 17:01
Benötigte Zeit: 42:15 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7777 Verzeichnisse wurden überprüft
401347 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
401343 Dateien ohne Befall
8740 Archive wurden durchsucht
5 Warnungen
2 Hinweise
78740 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

 

[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497b2403.qua' verschoben!
C:\Programme\Xpage Internet Studio 6 Special Edition\patterns\04.xpat
[0] Archivtyp: ZIP
--> 1.template
[1] Archivtyp: MacBinary
--> Kopfleiste

Das Verzeichnis "Xpage Internet Studio 6 Special Edition" ist aber immer noch da und die Autostarteinträge müssen noch mit HijackThis untersucht werden.

Wo hat er das Programm her? Es ist an sich nicht schädlich, außer es wurde aus einer unsicheren Quelle beschafft.

 

internet Studio ist von der PcWelt-CD.

[FUND] Enthält Erkennungsmuster des Wurmes WORM/Luder.E.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493c27d9.qua' verschoben!

wasn that?

 

Die xpat-Dateien kannst du hoch laden zur genauen Untersuchung.
Verdächtige Datei würde ich da mal angeben.
Avira informiert über das Ergebnis und begründet es.
Der Dienst ist kostenlos.
http://analysis.avira.com/samples/index.php

Das Programm ist mir unbekannt:
O4 - HKCU\..\Run: [aonUpdate] C:\Programme\aon\aonUpdate\aonUpdate.exe /tray
Gehört das zu einem Einwählprogramm (Dialer)?

Ansonsten sehe ich keine Schädlinge.
Den Autostart könnte man mal entrümpeln.
Java Runtime ist veraltet.
Was sonst noch veraltet ist, kann ich nicht erkennen.
Als Hilfe um das festzustellen, empfehle ich Secunia PSI.
Das ist recht zuverlässig bei der Erkennung und durchsucht die komplette Festplatte nach ausführbaren Programmen und stuft sie nach Aktualität und Gefährdungspotential ein.
http://www.computerbase.de/downloads/software/sicherheit/secunia_psi/

 

Aon ist sein Einwählprogramm...
Gar net so leicht am Handy die Schritte zu erklären *Seufz*

 

Der Rechner kann doch nicht sauber sein, du hast noch ein Luder E5 drauf

C:\System Volume Information\_restore{8D28B302-327F-486D-A185-23137C5F1CA8}\RP447\A0122937.EXE
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Luder.E.5

 

Die Datei ist in die Quarantäne verschoben worden und von dort gelöscht.