Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Alureon.14848J und event. andere Problemchen :-(

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.05.2009, 23:31   #1
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Hallo, ich habe mich gestern hier angemeldet da ich ein großes Problem mit einem oder mehrere Trojaner habe.

Habe selber schon mehrmals Antivir durchlaufen lassen, er hat den Trojaner auch immer gefunden aber er kommt immer wieder. Es zeigt sich dadurch das der Explorer schonmal einfriert und ich keinen Zugriff mehr per Doppelklick auf meine Festplatten (alle Festplatten betroffen) habe zusätzlich komm ich schonmal im IE 8 auf Seiten die ich gar nicht eingegeben habe.

Habe auch den Windows onecare live schon 2 mal durchlaufen lassen. Aber alles bleibt beim alten. Werds einfach nicht los.

Festplatte formatieren möchte ich unter allem umständen vermeiden :-(

Beim Festplattenzugriff sind übrigens alle Festplatten von mir betroffen. Usb Sticks kann ich auch nicht usen. Das Tool von Microsoft zum Beseitigen von Schädlicher Software lässt sich nicht starten.

Die Fehlermeldung der Festplatten ist folgende:

Recycler\S-6-0-92-100030965-100024073-100008560-2468.com
Beim Trojaner kommt immer wieder der Name "Alureon" vor.

Habe soweit es ging Eure Anleitung gelesen und sofern es möglich war Umgesetzt.

Alt 20.05.2009, 23:34   #2
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:39, on 21.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PCM4Everio\EverioService.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Natural Color Pro\NCProTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EverioService] "C:\Programme\CyberLink\PCM4Everio\EverioService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NCProTray.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5483.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229522837921
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229522829546
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA7A1553-D34F-49F7-9079-EF75764E8A62}: NameServer = 85.255.112.93,85.255.112.15
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.93,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.93,85.255.112.15
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NVIDIA Display Driver Service NVSvcxmlprov (NVSvcxmlprov) - Unknown owner - C:\WINDOWS\system32\1028e.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 7388 bytes
__________________


Alt 20.05.2009, 23:35   #3
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



3DMark06
7-Zip 4.65
AC3Filter (remove only)
ACDSee Trial-Version
Acrobat.com
Acrobat.com
Adobe AIR
Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Reader 9.1 - Deutsch
Alt.Binz 0.25.0
Apple Software Update
Atheros Communications Inc.(R) AR8121/AR8113 Gigabit/Fast Ethernet Driver
AutoMouseMove DEMO
Avira AntiVir Personal - Free Antivirus
Canon iP1700
Canon iP1700 Benutzerregistrierung
CCleaner (remove only)
Command & Conquer™ Alarmstufe Rot 3
Command & Conquer™ Alarmstufe Rot 3 Der Aufstand
DAOC-Charplan
Demigod
Demigod
Digital Photo Navigator 1.5
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
Empire: Total War
Empire: Total War - Dahomey Amazons Unit
Empire: Total War - Death's Head Hussars Unit
Empire: Total War - USS Constitution Unit
EPU-6 Engine
getPlus(R) for Adobe
Grand Theft Auto IV
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
ICQ6.5
Impulse
Impulse
IsoBuster 2.5
Java(TM) 6 Update 13
Logitech MouseWare 9.75
Macro Vibration Joystick
Malwarebytes' Anti-Malware
marvell 61xx
Medieval II Total War
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Games for Windows - LIVE
Microsoft Games for Windows - LIVE Redistributable
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
MSN
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB925673)
Natural Color Pro
Need for Speed™ Undercover
Nero 9
neroxml
NVIDIA Drivers
NVIDIA PhysX
OpenAL
Personal ID
PowerCinema NE for Everio
PowerDirector Express
PowerProducer
Realtek High Definition Audio Driver
Rise of the Argonauts
Rise of the Argonauts
Rockstar Games Social Club
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Steam
TeamSpeak 2 RC2
Update für Windows Internet Explorer 8 (KB969497)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VC80CRTRedist - 8.0.50727.762
VobSub v2.23 (Remove Only)
Warhammer Online: Age of Reckoning
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp
Windows Internet Explorer 8
Windows Live installer
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows XP Service Pack 3
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
__________________

Alt 20.05.2009, 23:37   #4
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Hier mal das Suchlauf Ergebnis von Antivir.

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 19. Mai 2009 23:54

Es wird nach 1401169 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: XXX
Computername: XXX

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 19:14:43
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 16:30:52
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 20:41:52
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 15:42:51
ANTIVIR3.VDF : 7.1.3.229 188928 Bytes 19.05.2009 12:11:37
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 18:41:30
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 15.05.2009 22:45:49
AESCN.DLL : 8.1.2.3 127347 Bytes 15.05.2009 22:45:48
AERDL.DLL : 8.1.1.3 438645 Bytes 16.11.2008 16:30:59
AEPACK.DLL : 8.1.3.16 397686 Bytes 09.05.2009 15:41:55
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 18:56:25
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 15.05.2009 22:45:47
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 18:56:22
AEGEN.DLL : 8.1.1.44 348532 Bytes 15.05.2009 22:45:46
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 18:39:15
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 12:23:55
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 19. Mai 2009 23:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NCProTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EverioService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SixEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\tempo-1953703.tmp
[FUND] Ist das Trojanische Pferd TR/Alureon.14848J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a802fc9.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 20. Mai 2009 00:15
Benötigte Zeit: 20:26 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5281 Verzeichnisse wurden überprüft
187592 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
187589 Dateien ohne Befall
2119 Archive wurden durchsucht
5 Warnungen
1 Hinweise

Geändert von SchakalDN (20.05.2009 um 23:46 Uhr)

Alt 20.05.2009, 23:41   #5
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Habe hier noch einen Report dran gehangen, hier zeigt er Malware oder sowas an.

Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 20. Mai 2009 23:40

Es wird nach 1401169 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Marcel
Computername: SCHAKAL

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 19:14:43
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 16:30:52
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 20:41:52
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 15:42:51
ANTIVIR3.VDF : 7.1.3.229 188928 Bytes 19.05.2009 12:11:37
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 18:41:30
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 15.05.2009 22:45:49
AESCN.DLL : 8.1.2.3 127347 Bytes 15.05.2009 22:45:48
AERDL.DLL : 8.1.1.3 438645 Bytes 16.11.2008 16:30:59
AEPACK.DLL : 8.1.3.16 397686 Bytes 09.05.2009 15:41:55
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 18:56:25
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 15.05.2009 22:45:47
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 18:56:22
AEGEN.DLL : 8.1.1.44 348532 Bytes 15.05.2009 22:45:46
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 18:39:15
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 12:23:55
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 20. Mai 2009 23:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NCProTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EverioService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SixEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLDM3SER\browser2[1].js
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a837a7e.qua' verschoben!
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HH8CIKX0\base64[1].js
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a877a9c.qua' verschoben!
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VNODC337\browser2[1].js
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a837aeb.qua' verschoben!
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZD3NJT3R\browser2[1].js
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a837b15.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Donnerstag, 21. Mai 2009 00:00
Benötigte Zeit: 19:45 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5288 Verzeichnisse wurden überprüft
193389 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
4 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
193383 Dateien ohne Befall
2121 Archive wurden durchsucht
5 Warnungen
4 Hinweise

Ich hoffe ich habe nichts vergessen.

Anti-Malware habe ich installiert, startet aber nicht ! Lässt sich nicht öffnen. Kommt auch keine Fehlermeldung.

Lasse aktuell nochmal Antivir über das komplette System laufen.


Wenn ihr noch was braucht bitte bescheid geben.
Hoffe das ihr mir helfen könnt.


Schönen Gruß,

SchakalDN


Geändert von SchakalDN (20.05.2009 um 23:50 Uhr)

Alt 21.05.2009, 00:33   #6
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 21. Mai 2009 00:26

Es wird nach 1401169 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: SCHAKAL

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 19:14:43
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 16:30:52
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 20:41:52
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 15:42:51
ANTIVIR3.VDF : 7.1.3.229 188928 Bytes 19.05.2009 12:11:37
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 18:41:30
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 15.05.2009 22:45:49
AESCN.DLL : 8.1.2.3 127347 Bytes 15.05.2009 22:45:48
AERDL.DLL : 8.1.1.3 438645 Bytes 16.11.2008 16:30:59
AEPACK.DLL : 8.1.3.16 397686 Bytes 09.05.2009 15:41:55
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 18:56:25
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 15.05.2009 22:45:47
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 18:56:22
AEGEN.DLL : 8.1.1.44 348532 Bytes 15.05.2009 22:45:46
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 11:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 18:39:15
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 12:23:55
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:, F:, H:, I:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 21. Mai 2009 00:26

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NCProTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EverioService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SixEngine.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [1381]: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\' <Games>
E:\RECYCLER\S-0-8-54-100013658-100021452-100010646-3692.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a448b67.qua' verschoben!
E:\RECYCLER\S-1-2-13-100024709-100025015-100006625-9355.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a458b6e.qua' verschoben!
E:\RECYCLER\S-1-6-88-100029596-100021803-100013287-9651.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a458b72.qua' verschoben!
E:\RECYCLER\S-2-6-73-100014498-100005475-100026802-5069.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a468b77.qua' verschoben!
E:\RECYCLER\S-5-1-97-100030729-100004132-100002829-7752.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a498b7d.qua' verschoben!
E:\RECYCLER\S-6-6-22-100009484-100001556-100012439-5651.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4a8b81.qua' verschoben!
E:\RECYCLER\S-7-6-15-100022942-100016632-100020027-4778.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4b8b84.qua' verschoben!
E:\RECYCLER\S-8-9-79-100010568-100029518-100007229-5244.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4c8b88.qua' verschoben!
Beginne mit der Suche in 'F:\' <Volume>
F:\RECYCLER\S-0-8-54-100013658-100021452-100010646-3692.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a448ce8.qua' verschoben!
F:\RECYCLER\S-1-2-13-100024709-100025015-100006625-9355.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a458ce8.qua' verschoben!
F:\RECYCLER\S-1-6-88-100029596-100021803-100013287-9651.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3b6781.qua' verschoben!
F:\RECYCLER\S-2-6-73-100014498-100005475-100026802-5069.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a468ce9.qua' verschoben!
F:\RECYCLER\S-5-1-97-100030729-100004132-100002829-7752.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a498ce9.qua' verschoben!
F:\RECYCLER\S-6-6-22-100009484-100001556-100012439-5651.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4a8ce9.qua' verschoben!
F:\RECYCLER\S-7-6-15-100022942-100016632-100020027-4778.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4b8ce9.qua' verschoben!
F:\RECYCLER\S-8-9-79-100010568-100029518-100007229-5244.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4c8cea.qua' verschoben!
Beginne mit der Suche in 'H:\' <Bibi I>
H:\RECYCLER\S-0-8-54-100013658-100021452-100010646-3692.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a448dd3.qua' verschoben!
H:\RECYCLER\S-1-2-13-100024709-100025015-100006625-9355.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a458dd3.qua' verschoben!
H:\RECYCLER\S-1-6-88-100029596-100021803-100013287-9651.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3b66bc.qua' verschoben!
H:\RECYCLER\S-2-6-73-100014498-100005475-100026802-5069.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a468dd4.qua' verschoben!
H:\RECYCLER\S-5-1-97-100030729-100004132-100002829-7752.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a498dd4.qua' verschoben!
H:\RECYCLER\S-6-6-22-100009484-100001556-100012439-5651.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4a8dd4.qua' verschoben!
H:\RECYCLER\S-7-6-15-100022942-100016632-100020027-4778.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4b8dd4.qua' verschoben!
H:\RECYCLER\S-8-9-79-100010568-100029518-100007229-5244.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4c8dd5.qua' verschoben!
Beginne mit der Suche in 'I:\' <Bibi II>
I:\RECYCLER\S-0-8-54-100013658-100021452-100010646-3692.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a448df3.qua' verschoben!
I:\RECYCLER\S-1-2-13-100024709-100025015-100006625-9355.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a458df4.qua' verschoben!
I:\RECYCLER\S-1-6-88-100029596-100021803-100013287-9651.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b3b669d.qua' verschoben!
I:\RECYCLER\S-2-6-73-100014498-100005475-100026802-5069.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a468df4.qua' verschoben!
I:\RECYCLER\S-5-1-97-100030729-100004132-100002829-7752.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a498df4.qua' verschoben!
I:\RECYCLER\S-6-6-22-100009484-100001556-100012439-5651.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4a8df5.qua' verschoben!
I:\RECYCLER\S-7-6-15-100022942-100016632-100020027-4778.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4b8df5.qua' verschoben!
I:\RECYCLER\S-8-9-79-100010568-100029518-100007229-5244.com
[FUND] Ist das Trojanische Pferd TR/TDss.adkg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4c8df5.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 21. Mai 2009 01:10
Benötigte Zeit: 43:24 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

9473 Verzeichnisse wurden überprüft
342702 Dateien wurden geprüft
32 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
32 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
342668 Dateien ohne Befall
4164 Archive wurden durchsucht
5 Warnungen
32 Hinweise
Dies ist der aktuellste Bericht, komischweise kommt hier nix mehr von Alureon sondern nun was anderes -.-

Alt 21.05.2009, 01:07   #7
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Soooo.... ich habe mich etwas durch Forum gewühlt.

Habe Combofix erfolgreich abschließen können und aktuell läuft Malware durch.

Das geschieht in der Nacht. Wenn ich wieder wach bin Poste ich den Bericht.


Bis dahin

Gn8

Alt 21.05.2009, 02:05   #8
gagsman
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



hi!
solange du einen monolog führst, wird dir wahrscheinlich keiner aus dem kompetenzteam wirklich helfen können, da anhand der anzahl der geposteten beiträge vermutet wird, dass dir bereits geholfen wird.

aber was ich dir schonmal sagen kann ist, dass dein kompletter internetverkehr über die ukraine umgeleitet wird:

O17 - HKLM\System\CCS\Services\Tcpip\..\{BA7A1553-D34F-49F7-9079-EF75764E8A62}: NameServer = 85.255.112.93,85.255.112.15
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.93,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.93,85.255.112.15

leider bin ich selbst nicht fähig dir bei der entfernung zu helfen, aber es wäre besser, den computer vorerst vom netz zu trennen (außer natürlich, wenn du hier auf der seite bist )

und falls sich keiner bei dir meldet, wäre es evtl besser, einen neuen thread zu eröffnen mit nur einem post, der dein problem beschreibt und combofix nur unter einzug eines kompetenzlers verwenden.

bis dahin.
lg!!!

Alt 21.05.2009, 10:50   #9
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Dabei habe ich mir so viel mühe gegeben :-(

Malware hat übrigens nix gefunden. Aber das scheint dann ja hinfällig zu sein. Wenn das hier eh keiner mehr lesen sollte.

Alt 21.05.2009, 12:15   #10
gagsman
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



wie gesagt, versuchs im notfall einfach nochmal mit nem neuen thread mit allen wesentlichen logfiles (avira, hjt, malwarebytes und die liste der installierten programme).dann hilft bestimmt wer.
bis denn.
lg!!!

Alt 21.05.2009, 16:01   #11
john.doe
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Hallo und

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 21.05.2009, 20:19   #12
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



So wie es aussieht ist das größte Problem behoben.

Meine Internet wird auch nicht mehr über Ukraine oder so umgeleitet.

Werde noch einmal alle Programme durch gehen.

Microsoft Tool für bösartige Software findet nix mehr, Malware findet auch nix mehr. Combofix scheint auch alles ok zu sein (glaub ich jedenfalls). Antivir läuft nochmal komplett durch. Dieser findet aber noch ein paar Warnungen.

Alt 21.05.2009, 20:42   #13
john.doe
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Zitat:
Werde noch einmal alle Programme durch gehen.
Äh, hallo?

Du sollst das Log von ComboFix posten und sonst nichts tun.
Zitat:
Microsoft Tool für bösartige Software findet nix mehr, Malware findet auch nix mehr.
Äh, hallo?
Zitat:
Combofix scheint auch alles ok zu sein (glaub ich jedenfalls).
Ist wissen denn nicht besser als glauben?

Du postest jetzt erstmal das Log von ComboFix und unternimmst nichts mehr ohne Anweisung. Ansonsten ist das Ganze nämlich sinnlos.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 21.05.2009, 21:31   #14
SchakalDN
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Hier die log von Combofix

Zitat:
ComboFix 09-05-20.A1 - ** 21.05.2009 22:25.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2686 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\**\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-04-21 bis 2009-05-21 ))))))))))))))))))))))))))))))
.

2009-05-21 00:01 . 2009-05-21 00:01 -------- d-----w c:\dokumente und einstellungen\**\Anwendungsdaten\Malwarebytes
2009-05-20 22:05 . 2009-05-20 22:05 -------- d-----w c:\programme\CCleaner
2009-05-19 21:53 . 2009-05-20 22:14 -------- d-----w c:\programme\trend micro
2009-05-19 21:53 . 2009-05-19 21:53 -------- d-----w C:\rsit
2009-05-19 12:11 . 2008-10-16 12:06 268648 ----a-w c:\windows\system32\mucltui.dll
2009-05-18 20:41 . 2009-05-21 09:28 -------- d-----w c:\programme\Windows Live Safety Center
2009-05-18 20:32 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-18 20:32 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-18 20:32 . 2009-05-18 20:32 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-18 20:32 . 2009-05-20 22:13 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-17 20:16 . 2008-08-13 08:22 24576 ----a-w c:\windows\system32\msxml3a.dll
2009-05-17 19:20 . 2009-05-17 19:20 -------- d-----w c:\programme\Gemeinsame Dateien\DivX Shared
2009-05-17 19:20 . 2009-05-17 19:31 -------- d-----w c:\dokumente und einstellungen\**\Anwendungsdaten\GetRightToGo
2009-05-17 19:08 . 2009-05-17 20:22 -------- d-----w c:\dokumente und einstellungen\**\Anwendungsdaten\AVS4YOU
2009-05-17 19:08 . 2009-05-17 19:08 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU
2009-05-17 19:08 . 2009-05-18 16:41 -------- d-----w c:\programme\Gemeinsame Dateien\AVSMedia
2009-05-17 19:08 . 2007-02-27 16:36 974848 ----a-w c:\windows\system32\mfc70.dll
2009-05-17 19:08 . 2007-02-27 16:36 487424 ----a-w c:\windows\system32\msvcp70.dll
2009-05-17 19:08 . 2007-02-27 16:36 344064 ----a-w c:\windows\system32\msvcr70.dll
2009-05-17 19:08 . 2007-02-27 16:36 1700352 ----a-w c:\windows\system32\GdiPlus.dll
2009-05-17 19:00 . 2007-05-17 15:30 318976 ----a-w c:\windows\system32\avisynth.dll
2009-05-17 19:00 . 2004-02-22 08:11 719872 ----a-w c:\windows\system32\devil.dll
2009-05-17 19:00 . 2004-01-24 22:00 70656 ----a-w c:\windows\system32\i420vfw.dll
2009-05-17 19:00 . 2004-01-24 22:00 70656 ----a-w c:\windows\system32\yv12vfw.dll
2009-05-16 12:12 . 2009-05-16 12:12 -------- d-----w c:\windows\MRLH
2009-05-16 11:31 . 2009-05-16 11:31 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\19Rgeit2iTqrf7M2Ql65
2009-05-11 17:14 . 2009-05-11 17:14 -------- d-----w c:\dokumente und einstellungen\**\Anwendungsdaten\FOG Downloader
2009-05-08 23:20 . 2009-05-08 23:20 -------- d-----r c:\dokumente und einstellungen\LocalService\Favoriten
2009-05-08 23:20 . 2009-05-08 23:20 -------- d-sh--w c:\dokumente und einstellungen\LocalService\IETldCache
2009-05-08 22:39 . 2009-05-08 22:39 -------- d-----w c:\dokumente und einstellungen\**\Anwendungsdaten\BlackBean
2009-05-08 20:43 . 2009-05-08 20:43 -------- d-sh--w c:\dokumente und einstellungen\**\IECompatCache
2009-05-08 20:40 . 2009-05-08 20:40 -------- d-sh--w c:\dokumente und einstellungen\**\PrivacIE
2009-05-08 20:39 . 2009-05-08 20:39 -------- d-sh--w c:\dokumente und einstellungen\**\IETldCache
2009-05-08 20:37 . 2009-05-08 20:37 -------- d-----w c:\windows\ie8updates
2009-05-08 20:37 . 2009-04-25 05:30 102400 -c----w c:\windows\system32\dllcache\iecompat.dll
2009-05-08 20:35 . 2009-05-08 20:37 -------- dc-h--w c:\windows\ie8
2009-05-08 20:29 . 2009-05-08 20:29 -------- d-----w c:\programme\MSXML 4.0
2009-05-08 20:02 . 2009-05-08 20:39 -------- d-----w c:\windows\SxsCaPendDel
2009-05-08 19:57 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-05-08 19:57 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-05-08 19:57 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-05-08 19:57 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-05-08 19:57 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-05-08 19:57 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-05-08 19:57 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-05-08 19:57 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-05-08 19:57 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-05-08 19:57 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-05-07 14:55 . 2001-08-17 11:56 7552 -c--a-w c:\windows\system32\dllcache\sonypvu1.sys
2009-05-07 14:55 . 2001-08-17 11:56 7552 ----a-w c:\windows\system32\drivers\SONYPVU1.SYS
2009-05-04 20:58 . 2009-05-04 21:15 -------- d-----w c:\dokumente und einstellungen\**\Anwendungsdaten\Nero
2009-05-04 20:48 . 2009-05-04 20:48 -------- d-----w c:\programme\Windows Sidebar
2009-05-04 20:40 . 2009-05-04 20:57 -------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-04-28 20:17 . 2009-04-28 20:17 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe AIR
2009-04-24 14:43 . 2009-04-24 16:36 -------- d-----w c:\programme\Eagle Dynamics
2009-04-23 18:18 . 2009-04-23 18:18 -------- d-----w c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Gas Powered Games
2009-04-23 18:08 . 2009-04-23 18:08 -------- d-----w c:\dokumente und einstellungen\**\Anwendungsdaten\Stardock
2009-04-23 18:07 . 2009-04-23 18:07 -------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EA77F737-0FEA-4800-BD99-D6AF1051C7A9}
2009-04-23 18:06 . 2009-04-23 18:06 -------- d-----w c:\programme\Stardock
2009-04-23 18:06 . 2009-04-23 18:06 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Stardock
2009-04-23 18:05 . 2009-04-23 18:05 -------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BE672698-4DAC-4C83-9056-C07C3170F628}
2009-04-21 22:20 . 2009-04-21 22:20 14311680 ----a-w c:\windows\system32\xlive.dll
2009-04-21 22:20 . 2009-04-21 22:20 13642496 ----a-w c:\windows\system32\xlivefnt.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 19:15 . 2004-08-04 12:00 79910 ----a-w c:\windows\system32\perfc007.dat
2009-05-21 19:15 . 2004-08-04 12:00 448470 ----a-w c:\windows\system32\perfh007.dat
2009-05-17 20:22 . 2008-11-05 17:28 14672 ----a-w c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-17 19:21 . 2009-02-15 02:30 -------- d-----w c:\programme\DivX
2009-05-16 12:09 . 2009-03-31 19:52 -------- d-----w c:\programme\IsoBuster
2009-05-15 07:31 . 2008-11-05 16:26 -------- d--h--w c:\programme\InstallShield Installation Information
2009-05-04 20:49 . 2009-01-02 20:01 -------- d-----w c:\programme\Nero
2009-04-15 20:24 . 2009-04-15 20:24 90112 ----a-w c:\windows\system32\dpl100.dll
2009-04-15 20:24 . 2009-04-15 20:24 823296 ----a-w c:\windows\system32\divx_xx0c.dll
2009-04-15 20:24 . 2009-04-15 20:24 823296 ----a-w c:\windows\system32\divx_xx07.dll
2009-04-15 20:24 . 2009-04-15 20:24 815104 ----a-w c:\windows\system32\divx_xx0a.dll
2009-04-15 20:24 . 2009-04-15 20:24 802816 ----a-w c:\windows\system32\divx_xx11.dll
2009-04-15 20:24 . 2009-04-15 20:24 684032 ----a-w c:\windows\system32\DivX.dll
2009-04-13 16:59 . 2008-12-21 11:27 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-13 16:58 . 2008-12-21 11:27 -------- d-----w c:\programme\AGEIA Technologies
2009-04-13 16:57 . 2009-04-13 16:57 -------- d-----w c:\programme\OpenAL
2009-04-13 16:57 . 2008-11-06 23:35 418480 ----a-w c:\windows\system32\wrap_oal.dll
2009-04-13 16:57 . 2008-11-06 23:35 115432 ----a-w c:\windows\system32\OpenAL32.dll
2009-04-04 12:31 . 2009-04-04 12:31 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-04-01 18:40 . 2009-03-19 13:19 -------- d-----w c:\programme\Java
2009-03-31 19:34 . 2009-03-31 19:34 -------- d-----w c:\programme\7-Zip
2009-03-29 18:14 . 2008-12-30 23:41 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-29 17:58 . 2009-03-29 17:58 -------- d-----w c:\programme\AC3Filter
2009-03-29 14:44 . 2009-03-29 14:40 -------- d-----w c:\programme\CyberLink
2009-03-29 14:40 . 2009-03-29 14:40 -------- d-----w c:\programme\Digital Photo Navigator 1.5
2009-03-09 03:19 . 2008-11-25 23:00 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2004-08-04 12:00 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-08-04 12:00 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-08-04 12:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-08-04 12:00 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-08-04 12:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-08-04 12:00 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-08-04 12:00 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-08-04 12:00 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-08-04 12:00 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-08-04 12:00 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-02-12 23:53 . 2009-02-12 23:49 56 --sh--r c:\windows\system32\434D13272C.sys
2009-02-12 23:53 . 2009-02-12 23:49 4182 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-05-20_23.59.51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-21 19:11 . 2009-05-21 19:11 16384 c:\windows\Temp\Perflib_Perfdata_4bc.dat
+ 2004-08-04 12:00 . 2009-05-21 19:15 30396 c:\windows\system32\perfh009.dat
- 2004-08-04 12:00 . 2009-05-20 23:53 30396 c:\windows\system32\perfh009.dat
+ 2004-08-04 12:00 . 2009-05-21 19:15 66584 c:\windows\system32\perfc009.dat
- 2004-08-04 12:00 . 2009-05-20 23:53 66584 c:\windows\system32\perfc009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-22 13541376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-22 86016]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-03 5964800]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"EverioService"="c:\programme\CyberLink\PCM4Everio\EverioService.exe" [2007-11-01 151552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-22 1657376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]
"Logitech Utility"="Logi_MwX.Exe" - c:\windows\LOGI_MWX.EXE [2002-11-08 19968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
NCProTray.lnk - c:\programme\Natural Color Pro\NCProTray.exe [2008-11-5 49220]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"e:\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"e:\\Demigod\\bin\\Demigod.exe"=
"e:\\Steam\\steamapps\\common\\empire total war\\Empire.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [10.06.2008 12:33 150568]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [05.11.2008 19:24 36864]
S2 NVSvcxmlprov;NVIDIA Display Driver Service NVSvcxmlprov;c:\windows\system32\1028e.exe srv --> c:\windows\system32\1028e.exe srv [?]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [31.12.2008 01:40 33752]
S3 hid7906;hid7906;c:\windows\system32\drivers\hid7906.sys [19.11.2008 22:38 53793]
S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);c:\windows\system32\drivers\CamDrL20.sys [17.11.2008 20:20 245760]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yahoo.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-21 22:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1202660629-261903793-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:0d,74,d4,8a,97,b9,5f,fc,5c,94,f5,cf,da,24,44,56,f6,6d,95,3d,9f,
32,62,e0,26,13,7f,f9,88,8e,3d,5d,93,85,70,6b,0f,1c,86,22,33,21,30,f0,39,e0,\
"rkeysecu"=hex:2b,b2,4a,68,13,ee,f1,9e,28,ca,56,c5,f1,f7,76,b4
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(4084)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-05-21 22:27
ComboFix-quarantined-files.txt 2009-05-21 20:27
ComboFix2.txt 2009-05-21 00:00

Vor Suchlauf: 12 Verzeichnis(se), 18.574.172.160 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 18.562.588.672 Bytes frei

208 --- E O F --- 2008-11-05 18:56

Alt 21.05.2009, 21:47   #15
john.doe
 
Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Standard

Trojaner TR/Alureon.14848J und event. andere Problemchen :-(



Poste die Logs von den Scannern, die du in der Zwischenzeit laufengelassen hast.

Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu Trojaner TR/Alureon.14848J und event. andere Problemchen :-(
alureon, anleitung, antivir, beseitigen, einfach, explorer, fehlermeldung, festplatte, festplatten, folge, formatieren, friert, großes, live, mehrere trojaner, microsoft, problem, seite, seiten, software, tool, trojaner, usb, windows, zugriff



Ähnliche Themen: Trojaner TR/Alureon.14848J und event. andere Problemchen :-(


  1. Iminent und event. andere Schädlinge bei ABSOLUTEM PC AMATEUR eingefangen
    Plagegeister aller Art und deren Bekämpfung - 04.07.2014 (22)
  2. Event Eintrag
    Alles rund um Windows - 28.04.2014 (1)
  3. Gerätemanager unter Windows7 leer -event. Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2014 (7)
  4. Auch mich hat es erwischt: Grün unterstrichene Werbebotschaften und andere Problemchen
    Plagegeister aller Art und deren Bekämpfung - 10.11.2013 (3)
  5. Bundespolizei Trojaner - Ihr Computer wurde gesperrt! + OTL Fehler (The event log file is corrupted.)
    Plagegeister aller Art und deren Bekämpfung - 22.08.2012 (3)
  6. TR/Vundo.Gen und andere Problemchen
    Log-Analyse und Auswertung - 26.05.2011 (11)
  7. Umleitungen in Firefox, automatisches öffnen von neuen Reitern und andere Problemchen
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (9)
  8. Umleitungen in Firefox, automatisches öffnen von neuen Reitern und andere Problemchen
    Mülltonne - 26.04.2011 (1)
  9. Trojaner TR/Alureon.B gefunden :-((
    Plagegeister aller Art und deren Bekämpfung - 09.08.2010 (3)
  10. Trojaner TR/Alureon.B gefunden
    Log-Analyse und Auswertung - 09.08.2010 (6)
  11. HEUR/HTML.Malware und andere Problemchen ...
    Plagegeister aller Art und deren Bekämpfung - 12.01.2010 (7)
  12. Alureon Trojaner
    Log-Analyse und Auswertung - 28.12.2009 (3)
  13. Trojaner Alureon
    Log-Analyse und Auswertung - 28.12.2009 (5)
  14. mit Trojaner Alureon infiziert
    Plagegeister aller Art und deren Bekämpfung - 03.09.2009 (8)
  15. XPCom Event Receiver? Was genau ist das?
    Alles rund um Windows - 28.03.2007 (2)
  16. event. böse?
    Log-Analyse und Auswertung - 11.02.2006 (4)
  17. Event-Log... :-(
    Alles rund um Windows - 01.11.2005 (1)

Zum Thema Trojaner TR/Alureon.14848J und event. andere Problemchen :-( - Hallo, ich habe mich gestern hier angemeldet da ich ein großes Problem mit einem oder mehrere Trojaner habe. Habe selber schon mehrmals Antivir durchlaufen lassen, er hat den Trojaner auch - Trojaner TR/Alureon.14848J und event. andere Problemchen :-(...
Archiv
Du betrachtest: Trojaner TR/Alureon.14848J und event. andere Problemchen :-( auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.