Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: svchost.stealth.keylogger

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 10.04.2013, 09:23   #1
MorkVomOrk
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Hallo zusammen,

irgendwie scheint es sich rumzusprechen, dass ich mit Euch zusammen PCs etc. wieder in Gang bekomme.
Dies ist nun also schon mein dritter Thread mit einem Problem.
Diesmal betrifft es das Laptop vom Onkel meiner Frau ...
Ich war bei ihm, weil er sagte, dass sich kein Programm und keine Datei mehr öffnen ließe.
Dem war auch so. Jedesmal, wenn man ein ICon doppelklickte bekam man eine Fehlermeldung, dass es eine infizierte Datei sei, die sich nun aus Sicherheitsgründen nicht mehr öffnen lasse.
Ich habe dann noch ein bissl rumprobiert und einen Hinweis auf o.g. Schadprogramm gefunden.
Kurzerhand habe ich das Laptop eingepackt und mit zu mir genommen.
Hier liegt es nun seit gut einer Woche unangetastet.
Heute habe ich es also eingeschaltet, um Euch die genaue Fehlermeldung mitzuteilen und was passiert - die Dateien und Programme lassen sich wieder öffnen.

Da ein Schadprogramm aber ja nicht einfach so von sich aus wieder verschwindet, bitte ich Euch trotzdem um Hilfe.

Vielen Dank schon mal im Voraus!


P.S.: da wir nur etwa 15 Meter auseinander wohnen, gibt es auch heute keinen Unterschied, sprich das Laptop ist via WiFi mit dem Internet verbunden - somit lässt sich ausschließen, dass das Programm nur bei bestehender Verbindung aktiv wird ...

Alt 10.04.2013, 13:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Hallo,

Zitat:
und einen Hinweis auf o.g. Schadprogramm gefunden.
Wie sieht dieser Hinweis denn aus, Logs dazu?
__________________

__________________

Alt 10.04.2013, 13:17   #3
MorkVomOrk
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Zitat:
Zitat von cosinus Beitrag anzeigen
Hallo,



Wie sieht dieser Hinweis denn aus, Logs dazu?
Hi cosinus,

diesmal also wir zwei wieder
Hatte beim letzten Mal das Vergnügen mit Markus.
Den Hinweis habe ich gefunden, als ich versucht habe, den "cmd-Befehl" auszuführen.
Hier kam dann ein Popup von einem Antivirenprogramm, dass eben das o.g. Schadprogramm installiert sei.
cmd habe ich versucht, da alle "Klick-Icons" nur das Popup mit der "infiziert-Meldung" brachten.
Dachte, ich teste mal, ob ich das Geklicke umgehen kann und so vielleicht an Infos komme ...
Ich weiß, ich bin ein blutiger Laie aber ich wollte halt nicht sofort aufgeben.

Logs gibt's noch nicht, da ich Euch nicht vorgreifen wollte.
Ich denke, Ihr könnt am effektivsten arbeiten, wenn ich nur das ausführende und nicht das denkende Organ bin ...

Wenn Du mir den Weg zeigst, bekommen wir sicher eine Lösung hin (bin's hier ja nicht mehr anders gewohnt )
__________________

Alt 10.04.2013, 14:19   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Zitat:
Hier kam dann ein Popup von einem Antivirenprogramm, dass eben das o.g. Schadprogramm installiert sei.
Ja wo isses denn nun, das Log dazu?

http://www.trojaner-board.de/125889-...tml#post941520
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.04.2013, 14:33   #5
MorkVomOrk
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Servus,

hatte nichts kopiert, da ich dachte, dass die Files eventuell auch korrumpiert sein könnten.
Nun habe ich mal den USB-Stick rausgeholt und den Bericht und die Ereignisse kopiert.
Hier die Ergebnisse:

Bericht
PHP-Code:

Avira Free Antivirus
Erstellungsdatum der Reportdatei
Sonntag24. März 2013  20:27

Es wird nach 5121783 Virenstämmen gesucht
.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   Avira Free Antivirus
Seriennummer   
0000149996-ADJIE-0000001
Plattform      
Windows Vista (TMHome Basic
Windowsversion 
: (Service Pack 2)  [6.0.6002]
Boot Modus     Normal gebootet
Benutzername   
SYSTEM
Computername   
HEINZSTEIN-PC

Versionsinformationen
:
BUILD.DAT      12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN
.EXE     12.3.0.48     468256 Bytes  14.11.2012 20:54:31
AVSCAN
.DLL     12.3.0.15      66256 Bytes  02.09.2012 20:51:37
LUKE
.DLL       12.3.0.15      68304 Bytes  02.09.2012 20:54:32
AVSCPLR
.DLL    12.3.0.14      97032 Bytes  02.09.2012 20:59:39
AVREG
.DLL      12.3.0.17     232200 Bytes  02.09.2012 20:59:36
VBASE000
.VDF   7.10.0.0    19875328 Bytes  06.11.2009 20:29:46
VBASE001
.VDF   7.11.0.0    13342208 Bytes  14.12.2010 21:31:12
VBASE002
.VDF   7.11.19.170 14374912 Bytes  20.12.2011 22:04:55
VBASE003
.VDF   7.11.21.238  4472832 Bytes  01.02.2012 20:10:06
VBASE004
.VDF   7.11.26.44   4329472 Bytes  28.03.2012 19:45:07
VBASE005
.VDF   7.11.34.116  4034048 Bytes  29.06.2012 17:31:32
VBASE006
.VDF   7.11.41.250  4902400 Bytes  06.09.2012 19:09:52
VBASE007
.VDF   7.11.50.230  3904512 Bytes  22.11.2012 22:05:55
VBASE008
.VDF   7.11.65.172  9122816 Bytes  21.03.2013 20:30:40
VBASE009
.VDF   7.11.65.173     2048 Bytes  21.03.2013 20:30:43
VBASE010
.VDF   7.11.65.174     2048 Bytes  21.03.2013 20:30:44
VBASE011
.VDF   7.11.65.175     2048 Bytes  21.03.2013 20:30:44
VBASE012
.VDF   7.11.65.176     2048 Bytes  21.03.2013 20:30:44
VBASE013
.VDF   7.11.66.48    120832 Bytes  22.03.2013 20:30:47
VBASE014
.VDF   7.11.66.49      2048 Bytes  22.03.2013 20:30:47
VBASE015
.VDF   7.11.66.50      2048 Bytes  22.03.2013 20:30:47
VBASE016
.VDF   7.11.66.51      2048 Bytes  22.03.2013 20:30:47
VBASE017
.VDF   7.11.66.52      2048 Bytes  22.03.2013 20:30:48
VBASE018
.VDF   7.11.66.53      2048 Bytes  22.03.2013 20:30:48
VBASE019
.VDF   7.11.66.54      2048 Bytes  22.03.2013 20:30:48
VBASE020
.VDF   7.11.66.55      2048 Bytes  22.03.2013 20:30:48
VBASE021
.VDF   7.11.66.56      2048 Bytes  22.03.2013 20:30:48
VBASE022
.VDF   7.11.66.57      2048 Bytes  22.03.2013 20:30:48
VBASE023
.VDF   7.11.66.58      2048 Bytes  22.03.2013 20:30:48
VBASE024
.VDF   7.11.66.59      2048 Bytes  22.03.2013 20:30:49
VBASE025
.VDF   7.11.66.60      2048 Bytes  22.03.2013 20:30:49
VBASE026
.VDF   7.11.66.61      2048 Bytes  22.03.2013 20:30:49
VBASE027
.VDF   7.11.66.62      2048 Bytes  22.03.2013 20:30:49
VBASE028
.VDF   7.11.66.63      2048 Bytes  22.03.2013 20:30:49
VBASE029
.VDF   7.11.66.64      2048 Bytes  22.03.2013 20:30:49
VBASE030
.VDF   7.11.66.65      2048 Bytes  22.03.2013 20:30:50
VBASE031
.VDF   7.11.66.122   107520 Bytes  23.03.2013 07:02:40
Engineversion  
8.2.12.18 
AEVDF
.DLL      8.1.2.10      102772 Bytes  12.07.2012 08:28:02
AESCRIPT
.DLL   8.1.4.100     475517 Bytes  22.03.2013 20:31:47
AESCN
.DLL      8.1.10.0      131445 Bytes  14.12.2012 20:18:40
AESBX
.DLL      8.2.5.12      606578 Bytes  14.06.2012 20:36:05
AERDL
.DLL      8.2.0.88      643444 Bytes  10.01.2013 20:14:42
AEPACK
.DLL     8.3.2.2       827767 Bytes  15.03.2013 21:31:04
AEOFFICE
.DLL   8.1.2.56      205180 Bytes  09.03.2013 22:39:31
AEHEUR
.DLL     8.1.4.258    5853561 Bytes  22.03.2013 20:31:43
AEHELP
.DLL     8.1.25.2      258423 Bytes  11.10.2012 18:59:10
AEGEN
.DLL      8.1.6.16      434549 Bytes  24.01.2013 21:21:30
AEEXP
.DLL      8.4.0.14      192886 Bytes  22.03.2013 20:31:49
AEEMU
.DLL      8.1.3.2       393587 Bytes  12.07.2012 08:27:48
AECORE
.DLL     8.1.31.2      201080 Bytes  03.03.2013 19:52:52
AEBB
.DLL       8.1.1.4        53619 Bytes  06.11.2012 07:44:11
AVWINLL
.DLL    12.3.0.15      27344 Bytes  02.09.2012 20:45:45
AVPREF
.DLL     12.3.0.32      50720 Bytes  14.11.2012 20:54:26
AVREP
.DLL      12.3.0.15     179208 Bytes  02.09.2012 20:59:38
AVARKT
.DLL     12.3.0.33     209696 Bytes  14.11.2012 20:54:21
AVEVTLOG
.DLL   12.3.0.15     169168 Bytes  02.09.2012 20:50:24
SQLITE3
.DLL    3.7.0.1       398288 Bytes  02.09.2012 20:56:45
AVSMTP
.DLL     12.3.0.32      63480 Bytes  02.09.2012 20:51:53
NETNT
.DLL      12.3.0.15      17104 Bytes  02.09.2012 20:55:22
RCIMAGE
.DLL    12.3.0.31    4444408 Bytes  02.09.2012 20:45:59
RCTEXT
.DLL     12.3.0.32      98848 Bytes  14.11.2012 20:54:12

Konfiguration für den aktuellen Suchlauf
:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei
...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung
.......................: standard
Primäre Aktion
........................: interaktiv
Sekundäre Aktion
......................: ignorieren
Durchsuche Masterbootsektoren
.........: ein
Durchsuche Bootsektoren
...............: ein
Bootsektoren
..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert
..........: ein
Durchsuche Registrierung
..............: ein
Suche nach Rootkits
...................: ein
Integritätsprüfung von Systemdateien
..: aus
Datei Suchmodus
.......................: Alle Dateien
Durchsuche Archive
....................: ein
Rekursionstiefe einschränken
..........: 20
Archiv Smart Extensions
...............: ein
Makrovirenheuristik
...................: ein
Dateiheuristik
........................: erweitert

Beginn des Suchlaufs
Sonntag24. März 2013  20:27

Der Suchlauf über 
die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    
[INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor '
D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess '
avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess '
avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess '
RacAgent.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess '
taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess '
avconfig.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess '
vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess '
avscan.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess '
avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess '
avcenter.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess '
wuauclt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess '
hphc_service.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess '
Com4QLBEx.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess '
wmiprvse.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess '
hpqWmiEx.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess '
AVWEBGRD.EXE' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess '
avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess '
7F0C6BBEE7B42FBA00007F0BECBC38F8.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess '
avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess '
Defender.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess '
Explorer.EXE' - '136' Modul(e) wurden durchsucht
Durchsuche Prozess '
Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess '
SearchIndexer.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess '
pdfsvc.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess '
LSSrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess '
iviRegMgr.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess '
IAANTMon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess '
DFInject.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess '
avguard.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess '
agrsmsvc.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess '
AEADISRV.EXE' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess '
ACService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess '
sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess '
taskeng.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess '
spoolsv.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess '
WLANExt.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess '
SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess '
svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess '
winlogon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess '
lsm.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess '
lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess '
services.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess '
csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess '
wininit.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess '
csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess '
smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '
2847' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in '
C:\'
C:\Users\Heinz Stein\AppData\Local\Temp\697B.tmp
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
C:\Users\Heinz Stein\AppData\Local\Temp\B25F.tmp
  [FUND]      Ist das Trojanische Pferd TR/Rogue.mio
C:\Users\Heinz Stein\AppData\Local\Temp\dooi0h2ans.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen7
C:\Users\Heinz Stein\AppData\Local\Temp\eoox23.exe
  [FUND]      Ist das Trojanische Pferd TR/ZAccess.EB.17
C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28772.tmp
  [0] Archivtyp: ZIP
  --> cfnD.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BA
  --> gcSo.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BB
  --> klowOWkGN.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BC
  --> lPgOyYffM.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BD
  --> sHARLdBue.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BE
  --> YHMrMtQohR.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BF
  --> yMDIs.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BG
C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28773.tmp
  [0] Archivtyp: ZIP
  --> iYui.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BH
  --> kBXUgRCQLY.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BI
  --> mciJTJbVz.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BJ
  --> PEoUj.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BK
  --> pMUnd.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BL
  --> QORsSm.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BM
  --> TdtYwDI.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BN
  --> uUUJsHMsRb.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BO
  --> xkkBnDg.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BP
  --> Yubq.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BQ
  --> BwhmtxAeG.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BR
  --> CcIMUqq.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.U
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\186efe1c-71f77250
  [0] Archivtyp: ZIP
  --> Class1.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.MX
  --> Class2.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.GK
  --> Class3.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.FP
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\1a0a84dd-3e59aa6e
  [0] Archivtyp: ZIP
  --> App.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.F
  --> Bank.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.FJ.3
  --> Double.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.B
  --> Keos.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.FL.3
  --> Olla.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Strex.AE
  --> Scofield.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Trea.FL.1
  --> Sentiel.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Inject.AQ
  --> Third.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.FM.3
  --> Daizy.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.C
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\604c2f6b-61ed56db
  [0] Archivtyp: ZIP
  --> App.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AC
  --> Aywamn.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karama.A
  --> Forelka.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karam.AQ
  --> Gonno.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Dermit.CM
  --> Goozal.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Pesur.X
  --> Panam.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.GG
  --> Sakio.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.M
  --> Tieppe.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.N
  --> Byte.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.O
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\35682986-24b3c341
  [0] Archivtyp: ZIP
  --> Class1.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.A.439
  --> Class2.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.3577
  --> Class3.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.CJ
Beginne mit der Suche in '
D:\' <HP_RECOVERY>

Beginne mit der Desinfektion:
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\35682986-24b3c341
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.CJ
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
540bca3b.qua' verschoben!
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\604c2f6b-61ed56db
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AC
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
4c9ae597.qua' verschoben!
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\1a0a84dd-3e59aa6e
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.F
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
1e39bf28.qua' verschoben!
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\186efe1c-71f77250
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.MX
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
78f4f0b5.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28773.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.U
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
3d34ddd4.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28772.tmp
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BG
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
422fefb5.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\eoox23.exe
  [FUND]      Ist das Trojanische Pferd TR/ZAccess.EB.17
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
0ee8c3e9.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\dooi0h2ans.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen7
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
72f083b9.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\B25F.tmp
  [FUND]      Ist das Trojanische Pferd TR/Rogue.mio
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
5f90acb3.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\697B.tmp
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '
46fa9720.qua' verschoben!


Ende des Suchlaufs: Sonntag, 24. März 2013  21:53
Benötigte Zeit:  1:24:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  25209 Verzeichnisse wurden überprüft
 478382 Dateien wurden geprüft
     51 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 478331 Dateien ohne Befall
   2932 Archive wurden durchsucht
      0 Warnungen
     10 Hinweise 
Ereignisse
PHP-Code:
Exportierte Ereignisse:

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\697B.tmp'
      
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen8' [trojan].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '46fa9720.qua' 
      
verschoben!

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz 
      Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\1a0a84dd-3e59aa6e'
      
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Dldr.Kara.F' [virus].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '1e39bf28.qua' 
      
verschoben!

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz 
      Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\186efe1c-71f77250'
      
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Dldr.Lamar.MX' [virus].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '78f4f0b5.qua' 
      
verschoben!

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz 
      Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\35682986-24b3c341'
      
enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.CJ' [exploit].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '540bca3b.qua' 
      
verschoben!

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz 
      Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\604c2f6b-61ed56db'
      
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Dldr.Kara.AC' [virus].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ae597.qua' 
      
verschoben!

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28773.tmp'
      
enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.U' [exploit].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '3d34ddd4.qua' 
      
verschoben!

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\dooi0h2ans.exe'
      
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen7' [trojan].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '72f083b9.qua' 
      
verschoben!

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\B25F.tmp'
      
enthielt einen Virus oder unerwünschtes Programm 'TR/Rogue.mio' [trojan].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f90acb3.qua' 
      
verschoben!

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28772.tmp'
      
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Lamar.BG' [virus].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '422fefb5.qua' 
      
verschoben!

24.03.2013 21:53 [System ScannerMalware gefunden
      
Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\eoox23.exe'
      
enthielt einen Virus oder unerwünschtes Programm 'TR/ZAccess.EB.17' [trojan].
      
Durchgeführte Aktion(en):
      Die 
Datei wurde ins Quarantäneverzeichnis unter dem Namen '0ee8c3e9.qua' 
      
verschoben


Alt 11.04.2013, 15:00   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Bitte nicht irgendwelche Tags verwenden, schon garkeine PHP-Tags, sondern CODE-Tags
Bei PHP-Tags werden manche Zeichen nicht gedruckt. Bitte korrigieren, du hast eine Stunde Zeit einen Beitrag nachträglich zu ändern

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________
--> svchost.stealth.keylogger

Alt 11.04.2013, 16:38   #7
MorkVomOrk
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Hi,

entschuldige bitte.
Hier nun in korrekter Form:

Bericht
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 24. März 2013  20:27

Es wird nach 5121783 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista (TM) Home Basic
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : HEINZSTEIN-PC

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE     : 12.3.0.48     468256 Bytes  14.11.2012 20:54:31
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.09.2012 20:51:37
LUKE.DLL       : 12.3.0.15      68304 Bytes  02.09.2012 20:54:32
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  02.09.2012 20:59:39
AVREG.DLL      : 12.3.0.17     232200 Bytes  02.09.2012 20:59:36
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 20:29:46
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 21:31:12
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 22:04:55
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 20:10:06
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 19:45:07
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 17:31:32
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 19:09:52
VBASE007.VDF   : 7.11.50.230  3904512 Bytes  22.11.2012 22:05:55
VBASE008.VDF   : 7.11.65.172  9122816 Bytes  21.03.2013 20:30:40
VBASE009.VDF   : 7.11.65.173     2048 Bytes  21.03.2013 20:30:43
VBASE010.VDF   : 7.11.65.174     2048 Bytes  21.03.2013 20:30:44
VBASE011.VDF   : 7.11.65.175     2048 Bytes  21.03.2013 20:30:44
VBASE012.VDF   : 7.11.65.176     2048 Bytes  21.03.2013 20:30:44
VBASE013.VDF   : 7.11.66.48    120832 Bytes  22.03.2013 20:30:47
VBASE014.VDF   : 7.11.66.49      2048 Bytes  22.03.2013 20:30:47
VBASE015.VDF   : 7.11.66.50      2048 Bytes  22.03.2013 20:30:47
VBASE016.VDF   : 7.11.66.51      2048 Bytes  22.03.2013 20:30:47
VBASE017.VDF   : 7.11.66.52      2048 Bytes  22.03.2013 20:30:48
VBASE018.VDF   : 7.11.66.53      2048 Bytes  22.03.2013 20:30:48
VBASE019.VDF   : 7.11.66.54      2048 Bytes  22.03.2013 20:30:48
VBASE020.VDF   : 7.11.66.55      2048 Bytes  22.03.2013 20:30:48
VBASE021.VDF   : 7.11.66.56      2048 Bytes  22.03.2013 20:30:48
VBASE022.VDF   : 7.11.66.57      2048 Bytes  22.03.2013 20:30:48
VBASE023.VDF   : 7.11.66.58      2048 Bytes  22.03.2013 20:30:48
VBASE024.VDF   : 7.11.66.59      2048 Bytes  22.03.2013 20:30:49
VBASE025.VDF   : 7.11.66.60      2048 Bytes  22.03.2013 20:30:49
VBASE026.VDF   : 7.11.66.61      2048 Bytes  22.03.2013 20:30:49
VBASE027.VDF   : 7.11.66.62      2048 Bytes  22.03.2013 20:30:49
VBASE028.VDF   : 7.11.66.63      2048 Bytes  22.03.2013 20:30:49
VBASE029.VDF   : 7.11.66.64      2048 Bytes  22.03.2013 20:30:49
VBASE030.VDF   : 7.11.66.65      2048 Bytes  22.03.2013 20:30:50
VBASE031.VDF   : 7.11.66.122   107520 Bytes  23.03.2013 07:02:40
Engineversion  : 8.2.12.18 
AEVDF.DLL      : 8.1.2.10      102772 Bytes  12.07.2012 08:28:02
AESCRIPT.DLL   : 8.1.4.100     475517 Bytes  22.03.2013 20:31:47
AESCN.DLL      : 8.1.10.0      131445 Bytes  14.12.2012 20:18:40
AESBX.DLL      : 8.2.5.12      606578 Bytes  14.06.2012 20:36:05
AERDL.DLL      : 8.2.0.88      643444 Bytes  10.01.2013 20:14:42
AEPACK.DLL     : 8.3.2.2       827767 Bytes  15.03.2013 21:31:04
AEOFFICE.DLL   : 8.1.2.56      205180 Bytes  09.03.2013 22:39:31
AEHEUR.DLL     : 8.1.4.258    5853561 Bytes  22.03.2013 20:31:43
AEHELP.DLL     : 8.1.25.2      258423 Bytes  11.10.2012 18:59:10
AEGEN.DLL      : 8.1.6.16      434549 Bytes  24.01.2013 21:21:30
AEEXP.DLL      : 8.4.0.14      192886 Bytes  22.03.2013 20:31:49
AEEMU.DLL      : 8.1.3.2       393587 Bytes  12.07.2012 08:27:48
AECORE.DLL     : 8.1.31.2      201080 Bytes  03.03.2013 19:52:52
AEBB.DLL       : 8.1.1.4        53619 Bytes  06.11.2012 07:44:11
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  02.09.2012 20:45:45
AVPREF.DLL     : 12.3.0.32      50720 Bytes  14.11.2012 20:54:26
AVREP.DLL      : 12.3.0.15     179208 Bytes  02.09.2012 20:59:38
AVARKT.DLL     : 12.3.0.33     209696 Bytes  14.11.2012 20:54:21
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  02.09.2012 20:50:24
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  02.09.2012 20:56:45
AVSMTP.DLL     : 12.3.0.32      63480 Bytes  02.09.2012 20:51:53
NETNT.DLL      : 12.3.0.15      17104 Bytes  02.09.2012 20:55:22
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  02.09.2012 20:45:59
RCTEXT.DLL     : 12.3.0.32      98848 Bytes  14.11.2012 20:54:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 24. März 2013  20:27

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'RacAgent.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphc_service.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess '7F0C6BBEE7B42FBA00007F0BECBC38F8.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'Defender.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '136' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdfsvc.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'DFInject.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'AEADISRV.EXE' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLANExt.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2847' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Heinz Stein\AppData\Local\Temp\697B.tmp
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
C:\Users\Heinz Stein\AppData\Local\Temp\B25F.tmp
  [FUND]      Ist das Trojanische Pferd TR/Rogue.mio
C:\Users\Heinz Stein\AppData\Local\Temp\dooi0h2ans.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen7
C:\Users\Heinz Stein\AppData\Local\Temp\eoox23.exe
  [FUND]      Ist das Trojanische Pferd TR/ZAccess.EB.17
C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28772.tmp
  [0] Archivtyp: ZIP
  --> cfnD.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BA
  --> gcSo.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BB
  --> klowOWkGN.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BC
  --> lPgOyYffM.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BD
  --> sHARLdBue.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BE
  --> YHMrMtQohR.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BF
  --> yMDIs.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BG
C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28773.tmp
  [0] Archivtyp: ZIP
  --> iYui.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BH
  --> kBXUgRCQLY.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BI
  --> mciJTJbVz.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BJ
  --> PEoUj.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BK
  --> pMUnd.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BL
  --> QORsSm.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BM
  --> TdtYwDI.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BN
  --> uUUJsHMsRb.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BO
  --> xkkBnDg.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BP
  --> Yubq.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BQ
  --> BwhmtxAeG.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BR
  --> CcIMUqq.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.U
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\186efe1c-71f77250
  [0] Archivtyp: ZIP
  --> Class1.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.MX
  --> Class2.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.GK
  --> Class3.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.FP
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\1a0a84dd-3e59aa6e
  [0] Archivtyp: ZIP
  --> App.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.F
  --> Bank.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.FJ.3
  --> Double.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.B
  --> Keos.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.FL.3
  --> Olla.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Strex.AE
  --> Scofield.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Trea.FL.1
  --> Sentiel.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Inject.AQ
  --> Third.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.FM.3
  --> Daizy.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.C
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\604c2f6b-61ed56db
  [0] Archivtyp: ZIP
  --> App.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AC
  --> Aywamn.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karama.A
  --> Forelka.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karam.AQ
  --> Gonno.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Dermit.CM
  --> Goozal.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Pesur.X
  --> Panam.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.GG
  --> Sakio.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.M
  --> Tieppe.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.N
  --> Byte.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.O
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\35682986-24b3c341
  [0] Archivtyp: ZIP
  --> Class1.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.A.439
  --> Class2.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.3577
  --> Class3.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.CJ
Beginne mit der Suche in 'D:\' <HP_RECOVERY>

Beginne mit der Desinfektion:
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\35682986-24b3c341
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.CJ
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '540bca3b.qua' verschoben!
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\604c2f6b-61ed56db
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.AC
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ae597.qua' verschoben!
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\1a0a84dd-3e59aa6e
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.F
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1e39bf28.qua' verschoben!
C:\Users\Heinz Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\186efe1c-71f77250
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.MX
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78f4f0b5.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28773.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.U
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3d34ddd4.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28772.tmp
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.BG
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '422fefb5.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\eoox23.exe
  [FUND]      Ist das Trojanische Pferd TR/ZAccess.EB.17
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0ee8c3e9.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\dooi0h2ans.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen7
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '72f083b9.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\B25F.tmp
  [FUND]      Ist das Trojanische Pferd TR/Rogue.mio
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f90acb3.qua' verschoben!
C:\Users\Heinz Stein\AppData\Local\Temp\697B.tmp
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen8
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46fa9720.qua' verschoben!


Ende des Suchlaufs: Sonntag, 24. März 2013  21:53
Benötigte Zeit:  1:24:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  25209 Verzeichnisse wurden überprüft
 478382 Dateien wurden geprüft
     51 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 478331 Dateien ohne Befall
   2932 Archive wurden durchsucht
      0 Warnungen
     10 Hinweise
         
Ereignisse
Code:
ATTFilter
Exportierte Ereignisse:

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\697B.tmp'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen8' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46fa9720.qua' 
      verschoben!

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz 
      Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\1a0a84dd-3e59aa6e'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Dldr.Kara.F' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1e39bf28.qua' 
      verschoben!

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz 
      Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\186efe1c-71f77250'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Dldr.Lamar.MX' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78f4f0b5.qua' 
      verschoben!

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz 
      Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\35682986-24b3c341'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.CJ' [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '540bca3b.qua' 
      verschoben!

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz 
      Stein\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\604c2f6b-61ed56db'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Dldr.Kara.AC' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c9ae597.qua' 
      verschoben!

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28773.tmp'
      enthielt einen Virus oder unerwünschtes Programm 'EXP/Java.HLP.U' [exploit].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3d34ddd4.qua' 
      verschoben!

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\dooi0h2ans.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen7' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '72f083b9.qua' 
      verschoben!

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\B25F.tmp'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Rogue.mio' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f90acb3.qua' 
      verschoben!

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\jar_cache28772.tmp'
      enthielt einen Virus oder unerwünschtes Programm 'JAVA/Lamar.BG' [virus].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '422fefb5.qua' 
      verschoben!

24.03.2013 21:53 [System Scanner] Malware gefunden
      Die Datei 'C:\Users\Heinz Stein\AppData\Local\Temp\eoox23.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/ZAccess.EB.17' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0ee8c3e9.qua' 
      verschoben!
         
Sollte jetzt richtig dargestellt werden ...

Alt 12.04.2013, 12:38   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Zitat:
C:\Users\Heinz Stein\AppData\Local\Temp\eoox23.exe
[FUND] Ist das Trojanische Pferd TR/ZAccess.EB.17

Lesestoff:
Rootkit-Warnung

Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten,
die er so sammelt, an die "bösen Jungs" weiterleiten kann.

Was heißt das jetzt für dich?
  • Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.

  • Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise
    "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.

  • Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du
    damit umgehst, da sie sich praktisch "jeder" ansehen konnte.
Teile mir also mit, wie du dich
entschieden hast.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 12.04.2013, 13:02   #9
MorkVomOrk
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Hallo!

Ich habe mir gerade das OK für das "Plattmachen" geholt.
Er fragt nur an, ob wir ihm eventuell seine Bilder, die Excel-Sheets und die Word-Dokumente retten können.
Darüber wäre er sehr froh.
Alles andere können wir bedenkenlos ausradieren ...

Alt 12.04.2013, 13:32   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipiell so aber fast genauso mit allen anderen Live-Systemen auch.
  1. Lade Dir ISO-Image von PartedMagic
  2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
  3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist
  4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
  5. Mounte die Partitionen wo Windows installiert ist, meistens ist das /dev/sda1 bzw. /dev/sda2 bei Win7 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du
    bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
  6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
  7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.05.2013, 09:18   #11
MorkVomOrk
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Hallo cosinus,

habe nun endlich mal Zeit gefunden, hier weiter zu machen.
Daten habe ich mit parted magic auf einem vorher formatierten USB-Stick gesichert und bislang noch nichts weiter damit angestellt.
Das System habe ich nach Anleitung neu aufgesetzt.
Anschließend die Treiber von der DVD installiert und angezeigte Updates gefahren.
Avast und MBAM installiert und beide laufen lassen.
Es werden noch Funde angezeigt. Insgesamt 9 Stück und soweit ich gesehn habe alle auf windows.old.

Wie ich das Log aus Avast bekomme, ist mir schleierhaft. Könnte aber auch einen Screenshot machen, wenn benötigt.
Das Log von MBAM habe ich hier:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.02.07

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Heinz Stein :: HEINZSTEIN-PC [Administrator]

02.05.2013 21:43:20
MBAM-log-2013-05-03 (10-05-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 442828
Laufzeit: 2 Stunde(n), 33 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 9
C:\Windows.old\$Recycle.Bin\S-1-5-21-4145414377-1926849389-937605907-1004\$ff24043d55f85ce9a20a8337d9b4b888\U\00000004.@ (Rootkit.Zaccess) -> Keine Aktion durchgeführt.
C:\Windows.old\$Recycle.Bin\S-1-5-21-4145414377-1926849389-937605907-1004\$ff24043d55f85ce9a20a8337d9b4b888\U\00000008.@ (Trojan.Dropper.BCMiner) -> Keine Aktion durchgeführt.
C:\Windows.old\$Recycle.Bin\S-1-5-21-4145414377-1926849389-937605907-1004\$ff24043d55f85ce9a20a8337d9b4b888\U\000000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows.old\$Recycle.Bin\S-1-5-21-4145414377-1926849389-937605907-1004\$ff24043d55f85ce9a20a8337d9b4b888\U\80000000.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows.old\$Recycle.Bin\S-1-5-21-4145414377-1926849389-937605907-1004\$ff24043d55f85ce9a20a8337d9b4b888\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows.old\Users\Heinz Stein\AppData\Local\Temp\B74D.tmp (Trojan.Agent.ED) -> Keine Aktion durchgeführt.
C:\Windows.old\Users\Heinz Stein\AppData\Local\Temp\7AAB.tmp (Tojan.Agent.ED) -> Keine Aktion durchgeführt.
C:\Windows.old\Users\Heinz Stein\AppData\Local\Temp\8EB8.tmp (Trojan.Agent.HWIH) -> Keine Aktion durchgeführt.
C:\Windows.old\Windows\System32\cmdow.exe (PUP.Tool) -> Keine Aktion durchgeführt.

(Ende)
         
Wie werde ich diesen Mist nun noch los?

Alt 03.05.2013, 23:26   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Du hast falsch neu installiert. Man sieht deutlich einen Ordner "Windows.old"
Der wäre nicht da, wenn du die Systempartition vorher formatiert hättest....
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 11.05.2013, 16:55   #13
MorkVomOrk
 
svchost.stealth.keylogger - Standard

svchost.stealth.keylogger



Alles klar.
Habe gerade nochmal neu installiert.
Man muss bei Vista "erweiterte Optionen" anzeigen lassen, um formatieren zu können.
Das hatte ich vorher nicht gemacht.
MBAM hat jetzt nichts mehr gefunden.
Avast installiere ich gerade. Denke, da wird aber auch nichts mehr gefunden.
Die Daten auf dem USB-Stick werde ich dann auch noch vor dem Überspielen durchchecken lassen und dann haben wir es schon wieder.

Vielen Dank ein weiteres Mal!

Gruß, Ralf

Antwort

Themen zu svchost.stealth.keylogger
exp/java.hlp.cj, exp/java.hlp.u, java/dldr.kara.ac, java/dldr.kara.f, java/dldr.lamar.mx, java/lamar.ba, java/lamar.bb, java/lamar.bc, java/lamar.bd, java/lamar.be, java/lamar.bf, java/lamar.bg, java/lamar.bh, java/lamar.bi, java/lamar.bj, java/lamar.bk, java/lamar.bl, java/lamar.bm, java/lamar.bn, java/lamar.bo, java/lamar.bp, tr/crypt.xpack.gen7, tr/crypt.zpack.gen8, tr/rogue.mio, tr/zaccess.eb.17



Ähnliche Themen: svchost.stealth.keylogger


  1. CeBIT: Das verborgene Rechenzentrum – Fujitsus Stealth Data Center
    Nachrichten - 16.03.2015 (0)
  2. Auf dem Fußweg Stealth-Malware erkennen?
    Antiviren-, Firewall- und andere Schutzprogramme - 11.01.2015 (8)
  3. "Selbstinstallation" von Winrar und Keylogger "The best Keylogger" möglich?
    Plagegeister aller Art und deren Bekämpfung - 26.06.2014 (19)
  4. svchost.stealth.keyloger
    Log-Analyse und Auswertung - 15.08.2013 (11)
  5. svchost.stealth.keylogger, system progressive protection entfernen
    Log-Analyse und Auswertung - 27.09.2012 (7)
  6. Trojaner SVCHOST.Stealth.Keyloger / Live Security Platinium
    Plagegeister aller Art und deren Bekämpfung - 12.08.2012 (2)
  7. svchost.exe ( Svchost Prozess Analyser)
    Log-Analyse und Auswertung - 23.09.2011 (7)
  8. svchost Virus ! C:\Benutzer\Windows\Install\svchost.exe - WORM/Rebhip.A.318
    Plagegeister aller Art und deren Bekämpfung - 20.01.2011 (1)
  9. nach der Installation von XoftSpySE wurde ein Keylogger (stealth 4.0) gefunden und gelöscht
    Log-Analyse und Auswertung - 28.10.2010 (1)
  10. Keylogger Trojan-Spy.Win32.KeyLogger.cqd in Windows32
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (1)
  11. TR/Crypt.ZPACK.Gen in C:\Temp\bcot.tmp\svchost.exe , C:\Temp\qmub.tmp\svchost.exe usw
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (1)
  12. hooks.dll - stealth keylogger 5.0 / Fragen ?
    Plagegeister aller Art und deren Bekämpfung - 28.02.2010 (1)
  13. WoW Keylogger: Keylogger : TR\FakeAV.C[Trojan]
    Log-Analyse und Auswertung - 20.01.2010 (11)
  14. xp advanced keylogger Commercial KeyLogger
    Plagegeister aller Art und deren Bekämpfung - 03.08.2007 (4)
  15. family keylogger Commercial KeyLogger
    Plagegeister aller Art und deren Bekämpfung - 29.03.2006 (17)
  16. stealth
    Plagegeister aller Art und deren Bekämpfung - 31.08.2005 (1)
  17. Stealth
    Log-Analyse und Auswertung - 29.05.2005 (1)

Zum Thema svchost.stealth.keylogger - Hallo zusammen, irgendwie scheint es sich rumzusprechen, dass ich mit Euch zusammen PCs etc. wieder in Gang bekomme. Dies ist nun also schon mein dritter Thread mit einem Problem. Diesmal - svchost.stealth.keylogger...
Archiv
Du betrachtest: svchost.stealth.keylogger auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.