Wir bräuchten eure Hilfe. Es geht um den Rechner meines Vaters und er hat mich gebeten, ihn hier anzumelden und beim Erstellen dieses Beitrages zu helfen.
Mein Vater erzählte mir, er hatte heute Vormittag wohl eine E-Mail im Posteingang. Ich muss an dieser Stelle dazu schreiben, dass ich zu diesem Zeitpunkt noch nicht dabei war und deswegen kann ich nur wiedergeben, was mein Vater mir dazu gesagt hat. Besagte Email schrieb wohl ein angeblicher Anwalt, der daraufhinwies, dass mein Vater angeblich noch eine Rechnung bei einem bekannten Online-Versandhändler offen hätte und er diesen Betrag plus die entstandenen Anwaltskosten bezahlen müsste. Eine Rechnung befände sich als PDF im Anhang.
Obwohl mein Vater eigentlich weiß, dass er im Umgang mit Mails vorsichtig sein und nicht jeden Anhang öffnen sollte, hat er in diesem Fall doch auf die angebliche Rechnung im Anhang geklickt. Bewogen hat ihn wohl die Tatsache, dass er mit korrektem Namen angeschrieben wurde.
Wie man sicherlich schon vermuten kann, öffnete sich wohl keine PDF-Datei. Stattdessen meldete sich kurz darauf Aviras Echtzeitscanner mit folgender Meldung:
"Muster 'TR/Crypt.Xpack.uluc [trojan]'
in Datei 'C:\Users\...\AppData\Roaming\tweak-1\tweak-8.exe gefunden.
Durchgeführte Aktion: Zugriff verweigern"
Mein Vater hat dann den Zugriff auch nicht erlaubt und die von Avira empfohlene Übeprüfung des Systems gestartet. Dies ist das Log des Suchlaufs (Namen habe ich durch ... ersetzt):
Code: Alles auswählen
Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 13. Juni 2016 10:48
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Free
Seriennummer : 0000149996-AVHOE-0000001
Plattform : Windows 10 Home
Windowsversion : (plain) [10.0.10586]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ...
Versionsinformationen:
build.dat : 15.0.17.273 92152 Bytes 04.04.2016 17:07:00
AVSCAN.EXE : 15.0.17.264 1258544 Bytes 02.06.2016 09:16:02
AVSCANRC.DLL : 15.0.17.269 65256 Bytes 02.06.2016 09:16:02
LUKE.DLL : 15.0.17.264 68864 Bytes 02.06.2016 09:16:38
AVSCPLR.DLL : 15.0.17.264 130712 Bytes 02.06.2016 09:16:02
REPAIR.DLL : 15.0.17.264 640544 Bytes 02.06.2016 09:15:59
repair.rdf : 1.0.17.46 1631475 Bytes 13.06.2016 08:19:31
AVREG.DLL : 15.0.17.264 350584 Bytes 02.06.2016 09:15:58
avlode.dll : 15.0.17.264 722920 Bytes 02.06.2016 09:15:55
avlode.rdf : 14.0.5.40 101832 Bytes 07.06.2016 12:25:05
XBV00010.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00011.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00012.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00013.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00014.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00015.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00016.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00017.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00018.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00019.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00020.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:10
XBV00021.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00022.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00023.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00024.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00025.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00026.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00027.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00028.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00029.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00030.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00031.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00032.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00033.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:11
XBV00034.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:12
XBV00035.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:12
XBV00036.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:12
XBV00037.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:12
XBV00038.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:12
XBV00039.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:12
XBV00040.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:12
XBV00041.VDF : 8.12.37.66 2048 Bytes 17.12.2015 11:35:12
XBV00171.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00172.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00173.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00174.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00175.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00176.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00177.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00178.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00179.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00180.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00181.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00182.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:58
XBV00183.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00184.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00185.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00186.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00187.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00188.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00189.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00190.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00191.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00192.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00193.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00194.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00195.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:11:59
XBV00196.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00197.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00198.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00199.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00200.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00201.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00202.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00203.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00204.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00205.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00206.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00207.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00208.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00209.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:00
XBV00210.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00211.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00212.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00213.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00214.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00215.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00216.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00217.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00218.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00219.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00220.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00221.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00222.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00223.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:01
XBV00224.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00225.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00226.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00227.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00228.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00229.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00230.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00231.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00232.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00233.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00234.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00235.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00236.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00237.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:02
XBV00238.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00239.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00240.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00241.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00242.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00243.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00244.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00245.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00246.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00247.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00248.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00249.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00250.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00251.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:03
XBV00252.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:04
XBV00253.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:04
XBV00254.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:04
XBV00255.VDF : 8.12.95.102 2048 Bytes 28.05.2016 09:12:04
XBV00000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 12:22:32
XBV00001.VDF : 7.11.237.0 48041984 Bytes 02.06.2015 11:34:22
XBV00002.VDF : 7.12.37.36 16452096 Bytes 17.12.2015 11:35:09
XBV00003.VDF : 8.12.44.142 3948032 Bytes 09.01.2016 04:38:13
XBV00004.VDF : 8.12.52.208 4036096 Bytes 02.02.2016 07:29:40
XBV00005.VDF : 8.12.62.184 2779136 Bytes 26.02.2016 07:14:49
XBV00006.VDF : 8.12.71.186 2191360 Bytes 19.03.2016 04:00:11
XBV00007.VDF : 8.12.80.192 3617280 Bytes 13.04.2016 08:15:17
XBV00008.VDF : 8.12.88.34 4358144 Bytes 06.05.2016 05:43:01
XBV00009.VDF : 8.12.95.102 4861952 Bytes 28.05.2016 09:11:47
XBV00042.VDF : 8.12.95.104 110080 Bytes 29.05.2016 09:11:47
XBV00043.VDF : 8.12.95.122 9728 Bytes 29.05.2016 02:31:03
XBV00044.VDF : 8.12.95.140 12288 Bytes 29.05.2016 02:31:03
XBV00045.VDF : 8.12.95.158 17920 Bytes 29.05.2016 02:31:03
XBV00046.VDF : 8.12.95.176 88576 Bytes 30.05.2016 08:30:35
XBV00047.VDF : 8.12.95.194 5120 Bytes 30.05.2016 08:30:35
XBV00048.VDF : 8.12.95.212 2048 Bytes 30.05.2016 08:30:35
XBV00049.VDF : 8.12.95.230 11264 Bytes 30.05.2016 08:30:35
XBV00050.VDF : 8.12.95.232 9216 Bytes 30.05.2016 08:30:35
XBV00051.VDF : 8.12.95.234 8704 Bytes 30.05.2016 14:30:36
XBV00052.VDF : 8.12.95.236 9728 Bytes 30.05.2016 14:30:36
XBV00053.VDF : 8.12.95.240 123904 Bytes 30.05.2016 10:22:56
XBV00054.VDF : 8.12.95.242 40448 Bytes 30.05.2016 10:22:56
XBV00055.VDF : 8.12.95.244 2048 Bytes 30.05.2016 10:22:56
XBV00056.VDF : 8.12.95.246 2048 Bytes 30.05.2016 10:22:56
XBV00057.VDF : 8.12.95.248 2048 Bytes 30.05.2016 10:22:56
XBV00058.VDF : 8.12.96.12 186880 Bytes 31.05.2016 10:22:58
XBV00059.VDF : 8.12.96.28 12800 Bytes 31.05.2016 10:22:58
XBV00060.VDF : 8.12.96.44 14336 Bytes 31.05.2016 10:22:58
XBV00061.VDF : 8.12.96.60 17920 Bytes 31.05.2016 10:22:58
XBV00062.VDF : 8.12.96.76 20992 Bytes 31.05.2016 10:22:58
XBV00063.VDF : 8.12.96.94 55808 Bytes 31.05.2016 02:45:06
XBV00064.VDF : 8.12.96.96 2048 Bytes 31.05.2016 02:45:06
XBV00065.VDF : 8.12.96.98 18944 Bytes 31.05.2016 02:45:06
XBV00066.VDF : 8.12.96.100 24064 Bytes 31.05.2016 02:45:06
XBV00067.VDF : 8.12.96.102 12288 Bytes 31.05.2016 02:45:06
XBV00068.VDF : 8.12.96.120 64512 Bytes 01.06.2016 08:44:49
XBV00069.VDF : 8.12.96.136 8704 Bytes 01.06.2016 08:44:50
XBV00070.VDF : 8.12.96.152 11776 Bytes 01.06.2016 08:44:50
XBV00071.VDF : 8.12.96.168 17408 Bytes 01.06.2016 03:15:52
XBV00072.VDF : 8.12.96.170 11264 Bytes 01.06.2016 03:15:52
XBV00073.VDF : 8.12.96.174 72192 Bytes 01.06.2016 03:15:53
XBV00074.VDF : 8.12.96.176 20992 Bytes 01.06.2016 03:15:53
XBV00075.VDF : 8.12.96.178 15872 Bytes 01.06.2016 03:15:53
XBV00076.VDF : 8.12.96.180 7680 Bytes 01.06.2016 03:15:53
XBV00077.VDF : 8.12.96.182 10240 Bytes 01.06.2016 03:15:53
XBV00078.VDF : 8.12.96.186 23040 Bytes 02.06.2016 09:16:46
XBV00079.VDF : 8.12.96.188 5120 Bytes 02.06.2016 09:16:46
XBV00080.VDF : 8.12.96.190 5632 Bytes 02.06.2016 09:16:46
XBV00081.VDF : 8.12.96.192 20992 Bytes 02.06.2016 09:16:47
XBV00082.VDF : 8.12.96.194 15872 Bytes 02.06.2016 09:16:47
XBV00083.VDF : 8.12.96.198 70656 Bytes 02.06.2016 05:31:45
XBV00084.VDF : 8.12.96.214 10752 Bytes 02.06.2016 05:31:45
XBV00085.VDF : 8.12.96.228 11776 Bytes 02.06.2016 05:31:45
XBV00086.VDF : 8.12.96.242 8192 Bytes 02.06.2016 05:31:45
XBV00087.VDF : 8.12.97.0 13824 Bytes 02.06.2016 05:31:45
XBV00088.VDF : 8.12.97.2 17408 Bytes 02.06.2016 05:31:45
XBV00089.VDF : 8.12.97.4 22016 Bytes 02.06.2016 05:31:45
XBV00090.VDF : 8.12.97.8 39936 Bytes 03.06.2016 05:31:45
XBV00091.VDF : 8.12.97.10 16384 Bytes 03.06.2016 02:03:18
XBV00092.VDF : 8.12.97.12 2048 Bytes 03.06.2016 02:03:18
XBV00093.VDF : 8.12.97.14 2048 Bytes 03.06.2016 02:03:18
XBV00094.VDF : 8.12.97.16 22016 Bytes 03.06.2016 02:03:18
XBV00095.VDF : 8.12.97.18 12800 Bytes 03.06.2016 02:03:18
XBV00096.VDF : 8.12.97.20 2048 Bytes 03.06.2016 02:03:18
XBV00097.VDF : 8.12.97.34 162304 Bytes 04.06.2016 02:29:46
XBV00098.VDF : 8.12.97.36 11776 Bytes 04.06.2016 02:29:46
XBV00099.VDF : 8.12.97.40 8704 Bytes 04.06.2016 02:29:46
XBV00100.VDF : 8.12.97.42 10240 Bytes 04.06.2016 02:29:46
XBV00101.VDF : 8.12.97.56 2048 Bytes 04.06.2016 02:29:46
XBV00102.VDF : 8.12.97.72 65024 Bytes 04.06.2016 03:35:04
XBV00103.VDF : 8.12.97.122 12288 Bytes 05.06.2016 03:35:04
XBV00104.VDF : 8.12.97.136 83968 Bytes 05.06.2016 03:35:05
XBV00105.VDF : 8.12.97.150 117760 Bytes 06.06.2016 09:34:47
XBV00106.VDF : 8.12.97.164 21504 Bytes 06.06.2016 09:34:47
XBV00107.VDF : 8.12.97.166 8192 Bytes 06.06.2016 09:34:48
XBV00108.VDF : 8.12.97.178 60928 Bytes 06.06.2016 06:12:25
XBV00109.VDF : 8.12.97.180 2048 Bytes 06.06.2016 06:12:26
XBV00110.VDF : 8.12.97.182 2048 Bytes 06.06.2016 06:12:26
XBV00111.VDF : 8.12.97.192 11264 Bytes 06.06.2016 06:12:26
XBV00112.VDF : 8.12.97.202 7168 Bytes 06.06.2016 06:12:26
XBV00113.VDF : 8.12.97.212 6144 Bytes 06.06.2016 06:12:26
XBV00114.VDF : 8.12.97.216 49152 Bytes 07.06.2016 06:12:26
XBV00115.VDF : 8.12.97.218 28160 Bytes 07.06.2016 06:12:26
XBV00116.VDF : 8.12.97.220 6144 Bytes 07.06.2016 12:25:05
XBV00117.VDF : 8.12.97.222 9728 Bytes 07.06.2016 12:25:05
XBV00118.VDF : 8.12.97.232 4608 Bytes 07.06.2016 12:25:05
XBV00119.VDF : 8.12.98.20 45056 Bytes 07.06.2016 00:43:02
XBV00120.VDF : 8.12.98.22 6144 Bytes 07.06.2016 00:43:02
XBV00121.VDF : 8.12.98.34 16896 Bytes 07.06.2016 00:43:02
XBV00122.VDF : 8.12.98.46 17920 Bytes 07.06.2016 00:43:03
XBV00123.VDF : 8.12.98.58 18432 Bytes 07.06.2016 00:43:03
XBV00124.VDF : 8.12.98.74 55808 Bytes 08.06.2016 06:42:44
XBV00125.VDF : 8.12.98.86 10752 Bytes 08.06.2016 06:42:44
XBV00126.VDF : 8.12.98.98 29184 Bytes 08.06.2016 11:04:26
XBV00127.VDF : 8.12.98.110 10240 Bytes 08.06.2016 11:04:26
XBV00128.VDF : 8.12.98.118 79360 Bytes 08.06.2016 01:57:58
XBV00129.VDF : 8.12.98.120 2048 Bytes 08.06.2016 01:57:58
XBV00130.VDF : 8.12.98.122 14848 Bytes 08.06.2016 01:57:58
XBV00131.VDF : 8.12.98.124 16896 Bytes 08.06.2016 01:57:58
XBV00132.VDF : 8.12.98.126 11264 Bytes 08.06.2016 01:57:58
XBV00133.VDF : 8.12.98.128 12800 Bytes 08.06.2016 01:57:58
XBV00134.VDF : 8.12.98.130 8704 Bytes 08.06.2016 01:57:58
XBV00135.VDF : 8.12.98.144 44544 Bytes 09.06.2016 08:27:57
XBV00136.VDF : 8.12.98.154 10752 Bytes 09.06.2016 08:27:57
XBV00137.VDF : 8.12.98.164 10752 Bytes 09.06.2016 03:17:00
XBV00138.VDF : 8.12.98.178 45568 Bytes 09.06.2016 03:17:00
XBV00139.VDF : 8.12.98.180 2048 Bytes 09.06.2016 03:17:00
XBV00140.VDF : 8.12.98.182 19968 Bytes 09.06.2016 03:17:00
XBV00141.VDF : 8.12.98.192 9728 Bytes 09.06.2016 03:17:00
XBV00142.VDF : 8.12.98.202 10752 Bytes 09.06.2016 03:17:00
XBV00143.VDF : 8.12.98.212 9216 Bytes 09.06.2016 03:17:01
XBV00144.VDF : 8.12.98.222 11776 Bytes 09.06.2016 03:17:01
XBV00145.VDF : 8.12.98.228 43008 Bytes 10.06.2016 10:20:40
XBV00146.VDF : 8.12.98.230 8704 Bytes 10.06.2016 10:20:40
XBV00147.VDF : 8.12.98.240 6144 Bytes 10.06.2016 10:20:40
XBV00148.VDF : 8.12.98.248 28160 Bytes 10.06.2016 10:20:40
XBV00149.VDF : 8.12.99.0 12800 Bytes 10.06.2016 03:46:04
XBV00150.VDF : 8.12.99.10 40448 Bytes 10.06.2016 03:46:04
XBV00151.VDF : 8.12.99.12 9216 Bytes 10.06.2016 03:46:04
XBV00152.VDF : 8.12.99.14 2048 Bytes 10.06.2016 03:46:04
XBV00153.VDF : 8.12.99.16 16384 Bytes 10.06.2016 03:46:04
XBV00154.VDF : 8.12.99.18 7680 Bytes 10.06.2016 03:46:04
XBV00155.VDF : 8.12.99.20 10240 Bytes 10.06.2016 03:46:04
XBV00156.VDF : 8.12.99.24 51200 Bytes 11.06.2016 10:00:52
XBV00157.VDF : 8.12.99.26 2048 Bytes 11.06.2016 10:00:53
XBV00158.VDF : 8.12.99.28 7168 Bytes 11.06.2016 10:00:53
XBV00159.VDF : 8.12.99.30 16896 Bytes 11.06.2016 01:02:43
XBV00160.VDF : 8.12.99.32 8192 Bytes 11.06.2016 01:02:43
XBV00161.VDF : 8.12.99.34 10752 Bytes 11.06.2016 01:02:43
XBV00162.VDF : 8.12.99.36 139264 Bytes 12.06.2016 08:19:28
XBV00163.VDF : 8.12.99.38 2048 Bytes 12.06.2016 08:19:28
XBV00164.VDF : 8.12.99.40 22016 Bytes 12.06.2016 08:19:28
XBV00165.VDF : 8.12.99.42 9216 Bytes 12.06.2016 08:19:28
XBV00166.VDF : 8.12.99.44 16384 Bytes 12.06.2016 08:19:28
XBV00167.VDF : 8.12.99.46 29184 Bytes 12.06.2016 08:19:28
XBV00168.VDF : 8.12.99.48 95744 Bytes 13.06.2016 08:19:28
XBV00169.VDF : 8.12.99.56 9728 Bytes 13.06.2016 08:19:29
XBV00170.VDF : 8.12.99.58 30720 Bytes 13.06.2016 08:19:29
LOCAL000.VDF : 8.12.99.58 161907712 Bytes 13.06.2016 08:19:53
Engineversion : 8.3.40.44
AEBB.DLL : 8.1.3.0 59296 Bytes 20.11.2015 07:30:07
AECORE.DLL : 8.3.12.4 247720 Bytes 22.03.2016 07:29:55
AECRYPTO.DLL : 8.2.0.2 128936 Bytes 12.05.2016 16:02:23
AEDROID.DLL : 8.4.3.362 2717608 Bytes 29.04.2016 14:50:33
AEEMU.DLL : 8.1.3.8 404328 Bytes 18.03.2016 11:18:59
AEEXP.DLL : 8.4.2.182 305064 Bytes 02.06.2016 03:15:52
AEGEN.DLL : 8.1.8.120 538536 Bytes 11.06.2016 03:46:02
AEHELP.DLL : 8.3.2.10 284584 Bytes 15.02.2016 15:20:56
AEHEUR.DLL : 8.1.4.2316 10283888 Bytes 28.05.2016 00:45:04
AELIBINF.DLL : 8.2.1.4 68464 Bytes 12.05.2016 16:02:23
AEMOBILE.DLL : 8.1.8.10 301936 Bytes 27.11.2015 04:23:55
AEOFFICE.DLL : 8.3.3.42 477096 Bytes 11.06.2016 03:46:03
AEPACK.DLL : 8.4.2.14 805744 Bytes 01.04.2016 06:27:06
AERDL.DLL : 8.2.1.42 813928 Bytes 18.03.2016 11:19:01
AESBX.DLL : 8.2.21.4 1629032 Bytes 16.03.2016 15:22:21
AESCN.DLL : 8.3.4.6 141216 Bytes 05.05.2016 03:25:10
AESCRIPT.DLL : 8.3.0.156 621424 Bytes 11.06.2016 03:46:03
AEVDF.DLL : 8.3.3.4 142184 Bytes 22.03.2016 07:29:57
AVWINLL.DLL : 15.0.17.264 27680 Bytes 02.06.2016 09:15:49
AVPREF.DLL : 15.0.17.264 53944 Bytes 02.06.2016 09:15:57
AVREP.DLL : 15.0.17.264 223400 Bytes 02.06.2016 09:15:58
AVARKT.DLL : 15.0.17.264 230080 Bytes 02.06.2016 09:15:49
AVEVTLOG.DLL : 15.0.17.264 202776 Bytes 02.06.2016 09:15:52
SQLITE3.DLL : 15.0.17.264 459752 Bytes 02.06.2016 09:16:44
AVSMTP.DLL : 15.0.17.264 80200 Bytes 02.06.2016 09:16:03
NETNT.DLL : 15.0.17.264 16880 Bytes 02.06.2016 09:16:38
CommonImageRc.dll: 15.0.17.269 4307832 Bytes 02.06.2016 09:15:49
CommonTextRc.dll: 15.0.17.269 68864 Bytes 02.06.2016 09:15:49
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Prüfung
Konfigurationsdatei...................: c:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: Interaktiv
Sekundäre Aktion......................: Ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Prüfe alle Dateien....................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................:
Beginn des Suchlaufs: Montag, 13. Juni 2016 10:48
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'HDD0(C:)'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Bootsektor wurde aufgrund des inkompatiblen Formats nicht gescannt.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '208' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '130' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'dashost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLAcsd.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mepService.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Fuel.Service.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.ServiceHost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'EscSvc64.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'splwow64.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'sihost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'mep.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhostw.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'RuntimeBroker.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '250' Modul(e) wurden durchsucht
Durchsuche Prozess 'ShellExperienceHost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchUI.exe' - '119' Modul(e) wurden durchsucht
Durchsuche Prozess 'splwow64.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtMon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtProc.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'HydraDM.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'OneDrive.exe' - '108' Modul(e) wurden durchsucht
Durchsuche Prozess 'HydraDM64.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'waol.exe' - '205' Modul(e) wurden durchsucht
Durchsuche Prozess 'SettingSyncHost.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'aolsoftware.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD10Serv.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMSpeed.exe' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'ArcCon.ac' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '232' Modul(e) wurden durchsucht
Durchsuche Prozess 'Avira.Systray.exe' - '118' Modul(e) wurden durchsucht
Durchsuche Prozess 'shellmon.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'aoltpsd3.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '122' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMIADAP.EXE' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '76' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\...\AppData\Roaming\tweak-1\tweak-8.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.uluc
Die Registry wurde durchsucht ( '1752' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Windows>
C:\Users\...\AppData\Roaming\tweak-1\tweak-8.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.uluc
Beginne mit der Desinfektion:
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3950718572-587136652-3654534270-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3950718572-587136652-3654534270-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2500> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3950718572-587136652-3654534270-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\tweak-19> wurde erfolgreich entfernt.
C:\Users\...\AppData\Roaming\tweak-1\tweak-8.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.Xpack.uluc
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Der Bootsektor wurde aufgrund des inkompatiblen Formats nicht gescannt.
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-3950718572-587136652-3654534270-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\tweak-19> wurde erfolgreich repariert.
Ende des Suchlaufs: Montag, 13. Juni 2016 12:03
Benötigte Zeit: 1:11:36 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
35250 Verzeichnisse wurden überprüft
573732 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
573730 Dateien ohne Befall
8490 Archive wurden durchsucht
1 Warnungen
1 Hinweise
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.
In Aviras Ereignisprotokoll stand auch diese Meldung:
"Die Datei 'C:\Users\...\AppData\Roaming\tweak-1\tweak-8.exe'
enthält folgendes Muster 'TR/Crypt.Xpack.uluc' [trojan]
Ausgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Der Bootsektor wurde aufgrund des inkompatiblen Formats nicht gescannt.
Die Datei wurde zum Löschen nach einem Neustart markiert.
Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet."
Mein Vater hat im Anschluss daran auch noch einen Scan mit Malwarebytes Anti-Malware gemacht. Hier das Log:
Code: Alles auswählen
Malwarebytes Anti-Malware
www.malwarebytes.org
Suchlaufdatum: 13.06.2016
Suchlaufzeit: 12:09
Protokolldatei: Malewarebytes.txt
Administrator: Ja
Version: 2.2.1.1043
Malware-Datenbank: v2016.06.13.02
Rootkit-Datenbank: v2016.05.27.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert
Betriebssystem: Windows 10
CPU: x64
Dateisystem: NTFS
Benutzer: ...
Suchlauftyp: Benutzerdefinierter Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 587604
Abgelaufene Zeit: 1 Std., 46 Min., 20 Sek.
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert
Prozesse: 0
(keine bösartigen Elemente erkannt)
Module: 0
(keine bösartigen Elemente erkannt)
Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)
Registrierungswerte: 0
(keine bösartigen Elemente erkannt)
Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)
Ordner: 0
(keine bösartigen Elemente erkannt)
Dateien: 0
(keine bösartigen Elemente erkannt)
Physische Sektoren: 0
(keine bösartigen Elemente erkannt)
(end)