| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Proxy.VB.BRWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.07.2009, 00:01
| #1 |
| |  Trojaner TR/Proxy.VB.BR Hallo zusammen - mein Rechner wollte beim Hochfahren erst im dritten Anlauf booten. Wenn ich es recht erinnere konnte dabei die Boot-Partition auf der Platte nicht gefunden werden. Der Systemvirenscan hat darauf hin einen Befall mit dem Trojaner TR/Proxy.VB.BR gemeldet und diesen in Quarantäne verschoben - aber damit ist es ja leider nicht getan. Code:
ATTFilter ...
Beginne mit der Suche in 'H:\' <daten>
H:\RECYCLER\S-1-5-21-1715567821-1592454029-725345543-1001\Dh47\verzeichnisA\verzeichnisB\tmgmdwu\keygenUltra.EXE
[FUND] Ist das Trojanische Pferd TR/Proxy.VB.BR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ad92df2.qua' verschoben!
...
Code:
ATTFilter Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Freitag, 17. Juli 2009 14:40
Es wird nach 1544046 Virenstämmen gesucht.
Lizenznehmer: XXX
Seriennummer: XXX
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: CHAMPA
Versionsinformationen:
BUILD.DAT : 8.2.0.384 21404 Bytes 15.05.2009 11:39:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 18:28:48
ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12.07.2009 15:13:48
ANTIVIR3.VDF : 7.1.4.245 384000 Bytes 16.07.2009 15:13:58
Engineversion : 8.2.0.215
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 11:23:45
AESCRIPT.DLL : 8.1.2.16 438651 Bytes 15.07.2009 15:13:58
AESCN.DLL : 8.1.2.3 127347 Bytes 15.05.2009 20:12:20
AERDL.DLL : 8.1.2.4 430452 Bytes 15.07.2009 15:13:57
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 18:20:54
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 19:08:26
AEHEUR.DLL : 8.1.0.141 1855864 Bytes 15.07.2009 15:13:57
AEHELP.DLL : 8.1.4.5 229748 Bytes 15.07.2009 15:13:55
AEGEN.DLL : 8.1.1.48 348532 Bytes 03.07.2009 13:30:22
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.7.5 180597 Bytes 15.07.2009 15:13:55
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 18:11:32
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26
RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:, G:, H:, I:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Freitag, 17. Juli 2009 14:40
Der Suchlauf nach versteckten Objekten wird begonnen.
Fehler in der ARK Lib
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Matrox.PowerDes' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Matrox.Pdesk.Se' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Matrox.PowerDes' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '24' Prozesse mit '24' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '44' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\'
F:\Eigene Dateien\Einstellungen _padma\Anwendungsdaten\Thunderbird\Profiles\9ai0d8mo.default\Mail\Local Folders\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[Subject: Re: xyz - Das Photomaterial - Luzerne][From: mail@mailadresse.pl][Message-ID: <20051031103052.C7C009D9F6@mail-in-09.arcor-onl]2448.mim
[1] Archivtyp: MIME
--> FotoSession.JPG.com
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.PS
--> Mailbox_[Message-ID: <0a4501c5f750$0fe027c0$de34e43f@peter>][From: <mail@mailadresse>][Subject: Ihre Anfrage]2744.mim
[1] Archivtyp: MIME
--> spielv2.zip
[2] Archivtyp: ZIP
--> lucky-seven-casino.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen
--> Mailbox_[Subject: Re: xyz - Das Photomaterial - Luzerne][From: anderemail@mailadresse][Message-ID: <20051031103052.C7C009D9F6@mail-in-09.arcor-onl]3216.mim
[1] Archivtyp: MIME
--> FotoSession.JPG.com
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.PS
--> Mailbox_[Message-ID: <d3e101c60da1$cc57f510$73177a05@peter>][From: mail@mailadresse][Subject: Auskunft]3628.mim
[1] Archivtyp: MIME
--> spielv2.zip
[2] Archivtyp: ZIP
--> lucky-seven-casino.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen
--> Mailbox_[Message-ID: <92B2856F.D25CD7E@yahoo.com>][From: <anderemail@mailadresse>][Subject: Kontostand]3800.mim
[1] Archivtyp: MIME
--> spielv2.zip
[2] Archivtyp: ZIP
--> lucky-seven-casino.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen
--> Mailbox_[Message-ID: <325801c623b0$cf047570$1f7faba2@michael>][From: nochanderemail@mailadresse][Subject: Auskunft]3950.mim
[1] Archivtyp: MIME
--> spielv2.zip
[2] Archivtyp: ZIP
--> lucky-seven-casino.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen
--> Mailbox_[Subject: Hallo von Tanja][From: mail@mailadresse][Message-ID: <20060314120650.829A5256466@mail-in-09.arcor-on]4680.mim
[1] Archivtyp: MIME
--> Bild-Tanja__JPG.com
[2] Archivtyp: ZIP SFX (self extracting)
--> Tanja.reg
[FUND] Ist das Trojanische Pferd TR/Killav.HR.2
--> Mailbox_[Subject: Hallo, Bewerbung von Tanja][From: anderemail@mailadresse][Message-ID: <20060316224613.37670134EC6@mail-in-03.arcor-on]4718.mim
[1] Archivtyp: MIME
--> Tanja-1_Tanja-2__JPG.com
[FUND] Ist das Trojanische Pferd TR/Drop.MJoiner.13.J
--> Mailbox_[Message-ID: <7bb101c65e46$58329730$6cc99530@webroof>][From: <anderemail@mailadresse>][Subject: Auskunft]5290.mim
[1] Archivtyp: MIME
--> spielv2.zip
[2] Archivtyp: ZIP
--> lucky-seven-casino.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen
--> Mailbox_[Subject: Von Britta][From: anderemail@mailadresse][Message-ID: <20060629022740.C1CAC33F365@mail-in-09.arcor-on]6224.mim
[1] Archivtyp: MIME
--> Bild-05___JPG.com
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.Age.66.A
--> Mailbox_[Subject: Sparkasse warnt Sie! Lesen Sie aufmerksam!][From: "Sicherheitsteam der Sparkasse" <email@mailadresse][Message-ID: <1GK0su-000ZQU-LV@h-68-165-241-5.mclnva23.covad]7284.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Subject: Sparkasse warnt Sie! Lesen Sie aufmerksam!][From: "Sicherheitsteam der Sparkasse" <selbemail@mailadresse][Message-ID: <1GK0su-000ZQU-LV@h-68-165-241-5.mclnva23.covad]7284.mim
[1] Archivtyp: MIME
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
F:\Eigene Dateien\Einstellungen _padma\Anwendungsdaten\Thunderbird\Profiles\9ai0d8mo.default\Mail\Local Folders\Eudora Mail.sbd\In
[0] Archivtyp: Netscape/Mozilla Mailbox
--> Mailbox_[From: Mail Delivery System <MAILER-DAEMON@anderemail@mailadresse][Subject: Undelivered Mail Returned to Sender][Message-ID: <20041116160916.EDB718080@mail@mailadresse>]1076.mim
[1] Archivtyp: MIME
--> document.pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.D.Dam
--> Mailbox_[From: Mail Delivery System <MAILER-DAEMON@selbemail@mailadresse][Subject: Undelivered Mail Returned to Sender][Message-ID: <20041116160916.EDB718080@mailix.selbemail@mailadresse>]1078.mim
[1] Archivtyp: MIME
--> document1.pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.D.Dam
--> Mailbox_[From: Mail Delivery System <MAILER-DAEMON@selbemail@mailadresse][Subject: Undelivered Mail Returned to Sender][Message-ID: <20041116160916.EDB718080@mailix.selbemail@mailadresse>]1080.mim
[1] Archivtyp: MIME
--> document2.pif
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Netsky.D.Dam
[WARNUNG] Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!
Beginne mit der Suche in 'G:\' <os>
Beginne mit der Suche in 'H:\' <daten>
Beginne mit der Suche in 'I:\' <My Book>
I:\suF090716\Eigene Dateien\Einstellungen _padma\Anwendungsdaten\Thunderbird\Profiles\9ai0d8mo.default\Mail\Local Folders\Inbox
<-- hier folgen auf der externen Platte nochmals die vom Laufwerk F gesicherten, infizierten Daten (siehe unten) -->
Ende des Suchlaufs: Samstag, 18. Juli 2009 02:46
Benötigte Zeit: 12:05:52 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
76006 Verzeichnisse wurden überprüft
1228526 Dateien wurden geprüft
30 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
1228495 Dateien ohne Befall
20157 Archive wurden durchsucht
5 Warnungen
0 Hinweise
16236 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
|
|
19.07.2009, 00:02
| #2 |
| | Trojaner TR/Proxy.VB.BR GMER hat zumindest keine Rootkits vermeldet....
__________________Code:
ATTFilter GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-18 22:52:31
Windows 5.0.2195 Service Pack 4
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xBF9A68D0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xBF9A32D0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xBF9AE0D0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xBF9A6C60]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xBF9ACEE0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xBF9B06D0]
SSDT 815516FC ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xBF9A6D40]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xBF9A3950]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xBF9AF0B0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xBF9AED00]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xBF9ACC50]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xBF9AF3E0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xBF9A37A0]
SSDT 815516E8 ZwOpenProcess
SSDT 815516ED ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xBF9AF6D0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xBF9A6570]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xBF9AF980]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xBF9A6A80]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xBF9A3AC0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xBF9AE897]
SSDT 815516F7 ZwTerminateProcess
SSDT 815516F2 ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
? srescan.sys Das System kann die angegebene Datei nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT Ntfs.sys[NTOSKRNL.EXE!DbgPrint] [BF9AC7B0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [BF9AB3E0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [BF9AB550] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [BF9AB900] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [BF9ABA60] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BF9ABA60] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BF9AB3E0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BF9AB900] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BF9AB550] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BF9AB3E0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BF9ABA60] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BF9AB900] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\drivers\afd.sys[NTOSKRNL.EXE!IoCreateFile] [BF9B89B0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
---- EOF - GMER 1.0.15 ----
...auch MBR hat nix Verdächtiges gefunden wenn ich es recht verstehe? Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Hab die postings im Forum zu Proxy.Delf.LP unter h**p://www.trojaner-board.de/75075-tr-proxy-delf-lp-hilfe.html und Proxy.Lager.AQ.1 unter h**p://www.trojaner-board.de/27745-trojaner-tr-proxy-lager-aq-1-hilfe-7.html studiert. Zur Version Proxy.VB.BR hat sich nichts gefunden, aber die infos zu anderen Varianten (h**p://www.pctools.com/mrc/infections/id/Trojan-Proxy.VB.X/ und h**p://www.pctools.com/mrc/infections/id/Trojan-Proxy.VB.I/) lassen nix Gutes ahnen. Hatte in der ersten hektischen Aktivität ein backup - vom infizierten System aus - auf das externe Laufwerk gesichert, und dabei natürlich die Virendateien mitkopiert, zu blöd. Auf dem externen Laufwerk sind auch Daten die ich sonst nicht mehr habe, kann es also nicht einfach komplett formatieren. Gibt es eine Möglichkeit, ein "sauberes" Backup zu ziehen, und gleichzeitig mein Laufwerk wieder sicher virenfrei zu bekommen? Erklärt der Trojaner bzw. der ganze sonstige Mist das merkwürdige Verhalten beim Starten, oder könnte ein zusätzliches Hardware-Problem die Ursache dafür sein? Bisher gab es keine Schwierigkeiten mehr beim Booten. Und natürlich... die Frage aller Fragen... wie wahrscheinlich ist es, dass mein System kompromittiert ist?? Ich wäre sehr dankbar, wenn sich jemand die logfiles ansehen und mir weiterhelfen könnte! Grüsse Susanne Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:31:09, on 17.07.2009 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\WINNT\System32\svchost.exe c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\WINNT\Explorer.EXE C:\WINNT\system32\RunDll32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Matrox PowerDesk SE] "c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe O23 - Service: Matrox.Pdesk.ServicesHost - Unknown owner - c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe -- End of file - 5503 bytes |
|
19.07.2009, 00:39
| #3 | ||
  | Trojaner TR/Proxy.VB.BRZitat:
Zitat:
 Schau doch mal da rein: YouTube - Effects of crack programs and keygens on your PC Anschließend da: http://www.trojaner-board.de/446942-post3.html und hier: http://www.trojaner-board.de/448897-post2.html Danach geht es hier entlang: http://www.trojaner-board.de/51262-a...sicherung.html wütend durchschnaufe Warum um Himmels Willen lasst ihr nicht endlich die Finger von Cracks und keygens?
__________________ |
|
19.07.2009, 21:47
| #4 | ||
| | Trojaner TR/Proxy.VB.BRZitat:
Okay, danke. Message verstanden. Lektion gelernt. Gibt es noch eine Empfehlung zur Frage "infizierte Datensicherung auf dem externen Laufwerk"?? Zitat:
|
|
19.07.2009, 21:54
| #5 |
| | Trojaner TR/Proxy.VB.BR Am besten würde ich das Backup löschen und nach dem Neuaufsetzen ein komplett neues Backup anfertigen. Schließe am besten die externe Platte nur noch über SHIFT-Taste gedrückt halten an.
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!  |
|
19.07.2009, 22:08
| #6 |
| | Trojaner TR/Proxy.VB.BR guter Tipp - dann mach ich mich wohl an die Arbeit. Besten Dank für Deine Unterstützung!! |
|
19.07.2009, 22:26
| #7 |
| | Trojaner TR/Proxy.VB.BR Bitte  Du krieschst das scho hin
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
| Themen zu Trojaner TR/Proxy.VB.BR |
| .dll, 0 bytes, antivir, avg, avgnt.exe, eudora, explorer.exe, frage, gelöscht, infizierte, logon.exe, lsass.exe, mail delivery, mailer-daemon, modul, namen, nicht gefunden, nt.dll, prozesse, registry, rundll, scan, sched.exe, schädlinge, sender, services.exe, suche, suchlauf, svchost.exe, trojaner, undelivered, undelivered mail returned to sender, versteckte objekte, verweise, virus, virus gefunden, warnung, windows, winlogon.exe, wuauclt.exe, yahoo.com |
Linear-Darstellung
