| |
| |||||||
Log-Analyse und Auswertung: Ist mein System vertrauenswürdig?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
12.01.2009, 00:29
| #1 |
| |  Ist mein System vertrauenswürdig? Hallo leute... Ich bin, aufgrund der dummen Fehlinformation, eine Routerfirewall würde reichen, eine Zeit lang ohne Firewall (bzw mit Sygate auf allow all) herumgesurft. Jetzt hatte ich einige unschöne außeinandersetzungen mit den Trojanern: Vundo, Monder, Crypt.Xpack, Fraud.Laud Spy.Agent und PSW.Online.Games. Wie ihr sehen könnt ist diese Sammlung recht groß. Avira Antivir war logischerweise etwas überfordert. Zuerst kam Vundo...einer nach dem anderen. Nach einer Zeit hat Avira keine Vundomeldungen mehr gemacht, sondern zeigte nun den Virus Monder an. Nachdem scheinbar alle Monderinfizierungen gelöscht waren kam noch Online.Games dazu. Nach Monder folgte schließlich Spy.Agent und Crypt.Xpack. Nach einigen Versuchen, mein System mit adaware 2008 zu bereinigen, was allerdings keine Früchte trug, erkundigte ich mich im Internet. Hierbei stieß ich auf die Wunderbaren geschenke der Computerschöpfung Malewarebytes und SuperAntiSpyware. Malewarebytes hat gleich 33 Infektionen gefunden, wobei über 20 allein von Vundo waren (ich hatte da gedachte er wäre schon gelöscht  ) Es konnten alle Dateien (spätetstens nach Neustart) gelöscht werden . 2ter und 3ter scan folgten ohne Vorkommnisse. Anschließend habe ich mit SUPERAntiSpyware das System Überprüft, dieser fand 165 Infizierungen, darunter einige Cookies etc, welche ich alle beheben ließ. Noch ein Avira Scan brachte dann den Trojaner TR/trash.gen welcher allerdings eine, durch Malewarebytes verursachte, Fehlermeldung sein soll (In wie fern das sitmmt hätte ich auch gerne gewusst).Nun scheint mein System wieder virenfrei zu sein...zumindest laut den Scanprogrammen... Ich möchte nun gern von einem Profi wissen ob alles in Ordnung ist: Hier mein HijackThis logfile! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:51:38, on 11.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Vuzix Corporation\iWear VR920\iWearTaskBar.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\iZ3D Driver\Win32\iZ3DCService.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\SPYWAREfighter\spfprc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.at R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www6.inode.at/config/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iWearMonitor] "C:\Programme\Vuzix Corporation\iWear VR920\iWearTaskBar.exe" -Startup O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [yilozavawi] Rundll32.exe "C:\WINDOWS\system32\peyuweli.dll",s (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin2.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: c:\windows\system32\fetepaze.dll c:\windows\system32\gesulodu.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iZ3D Service (Win32) - iZ3D LLC. - C:\Programme\iZ3D Driver\Win32\iZ3DCService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: Remote HID Service (LvHidSvc) - Unknown owner - C:\WINDOWS\system32\lvhidsvc.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe -- End of file - 9104 bytes danke im Vorraus! Greetz Twel |
|
12.01.2009, 00:34
| #2 |
| |  Ist mein System vertrauenswürdig? Hier mein letzter Avira Scan mit Virenfund (TR/Trash.gen)
__________________Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 11. Januar 2009 21:51 Es wird nach 1179377 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: BUERO-DB565ACEE Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 30.11.2008 14:11:40 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 17:56:10 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 17:56:11 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 17:56:11 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 05:37:49 ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 17:16:22 ANTIVIR2.VDF : 7.1.1.88 726528 Bytes 08.01.2009 00:13:18 ANTIVIR3.VDF : 7.1.1.96 100864 Bytes 10.01.2009 03:53:50 Engineversion : 8.2.0.54 AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 17:20:12 AESCRIPT.DLL : 8.1.1.24 340348 Bytes 11.01.2009 03:53:57 AESCN.DLL : 8.1.1.5 123251 Bytes 09.11.2008 12:15:12 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 17:07:05 AEPACK.DLL : 8.1.3.5 393588 Bytes 11.01.2009 03:53:56 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 11.12.2008 16:24:58 AEHEUR.DLL : 8.1.0.78 1532280 Bytes 11.01.2009 03:53:54 AEHELP.DLL : 8.1.2.0 119159 Bytes 19.11.2008 15:49:42 AEGEN.DLL : 8.1.1.8 323956 Bytes 11.12.2008 16:24:56 AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 17:20:06 AECORE.DLL : 8.1.5.2 172405 Bytes 30.11.2008 14:11:40 AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 17:20:03 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 17:56:10 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 17:56:10 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 21:10:30 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 17:56:10 AVARKT.DLL : 1.0.0.23 307457 Bytes 23.04.2008 13:05:09 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 17:56:10 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.04.2008 13:05:10 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 17:56:11 NETNT.DLL : 8.0.0.1 7937 Bytes 23.04.2008 13:05:10 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 17:56:07 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 17:56:07 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Sonntag, 11. Januar 2009 21:51 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iZ3DCService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iWearTaskBar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spftray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '46' Prozesse mit '46' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '60' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Philipp\Lokale Einstellungen\Temp\pft3F~tmp\pftw1.pkg [0] Archivtyp: CAB (Microsoft) --> \data1.hdr [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP607\A0212785.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 499c6876.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP607\A0212791.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 499c6877.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP607\A0212792.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48371530.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP607\A0212793.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 499c6879.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\drivers\dtscsi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <2. Festplatte> Ende des Suchlaufs: Sonntag, 11. Januar 2009 23:48 Benötigte Zeit: 1:57:14 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 15928 Verzeichnisse wurden überprüft 517504 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 4 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 517496 Dateien ohne Befall 3049 Archive wurden durchsucht 5 Warnungen 4 Hinweise |
|
12.01.2009, 00:37
| #3 |
| | Ist mein System vertrauenswürdig? Als abrundung noch mein Malewarebytes-Logfile...
__________________Dies ist der erste scan mit den vielen infizierten Dateien... Der 2te und 3te Durchgang verlief bereits Fundlos. Malwarebytes' Anti-Malware 1.32 Datenbank Version: 1638 Windows 5.1.2600 Service Pack 2 11.01.2009 12:47:19 mbam-log-2009-01-11 (12-47-19).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 301624 Laufzeit: 2 hour(s), 33 minute(s), 32 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 3 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 0 Infizierte Dateien: 13 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\habodotu.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\peyuweli.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\daripebu.dll (Trojan.Vundo.H) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9f15fd05-29c0-4730-8ddf-f8f8b57f48ee} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9f15fd05-29c0-4730-8ddf-f8f8b57f48ee} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9f15fd05-29c0-4730-8ddf-f8f8b57f48ee} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yilozavawi (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\e0f983f3 (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpme3cab06f (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\habodotu.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\habodotu.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\habodotu.dll -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\peyuweli.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\daripebu.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\habodotu.dll (Trojan.Vundo.H) -> Delete on reboot. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP595\A0207172.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP595\A0207173.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP595\A0207174.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP597\A0208191.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP597\A0208192.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{A784E029-4D24-43C9-8E14-7CC4F338936C}\RP597\A0208193.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\hijagolu.dll.tmp (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\losamine.dll.tmp (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wawupobe.dll.tmp (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Programme\ICQToolbar\tbu38\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully. Ich danke euch allen im voraus! Greetz Twel |
|
| Themen zu Ist mein System vertrauenswürdig? |
| ad-aware, adobe, antivir, avg, avira, bho, bonjour, confused, fehlermeldung, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet explorer, logfile, monder, object, rundll, scan, security, software, system, trojaner, trojaner tr/trash.gen, virus, vundo, windows, windows xp |
Linear-Darstellung
