Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: malware defense und security alert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.01.2010, 15:41   #1
Capella
 
malware defense und security alert - Standard

malware defense und security alert



hallo,

ich habe exakt daselbe Problem wie hier: http://www.trojaner-board.de/81170-m...blocker-2.html

Also alle 2 Minuten öffnen sich 2 Fenster. Einmal ein windows alert security Fenster, dass sagt, dass ich ein Virus wie Net-Worm.Win32.Mytob.t habe und solle auf "enable protection" klicken. Dann öffnet sich auch immer ein Installationsfenster der Malware Defense Installer. Auch kann ich in der Taskleiste das Windows Security fensteröffnen, dass ist aber ein falsches, da meins deutsch ist und bei mir steht, dass mein Antivir aktiv ist. Außerdem kann ich mein Antivir-programm nicht öffnen!

Was soll ich tun? Wollte Combofix nicht ohne Expertenmeinung laufen lassen.

Alt 06.01.2010, 17:01   #2
Capella
 
malware defense und security alert - Standard

malware defense und security alert



Ich brauche drinigend HILFFEEEEEEEE!!!
__________________


Alt 06.01.2010, 17:29   #3
Capella
 
malware defense und security alert - Standard

malware defense und security alert



Also ich habe beim Download von hijakcthis einfach den namen geändert. Funzt nun, also hier das Log file:


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:25:20, on 06.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\msb.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\RssReader\RssReader.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\settdebugx.exe
C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\wscsvc32.exe
C:\Programme\Uniblue\RegistryBooster\registrybooster.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\c.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [RssReader] C:\Programme\RssReader\RssReader.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [LREC75DND7] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\c.exe
O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "launcher.exe" delay 20000
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: MSI US54EX Wireless Client Utility.lnk = C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mu3: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .xmz: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 10655 bytes
         
__________________

Alt 06.01.2010, 18:34   #4
Capella
 
malware defense und security alert - Standard

malware defense und security alert



Wäre sehr nett, wenn mir einer sagt, was ich machen muss. Ich sitze hier schon seit 6 Stunden dran und ich will meinen PC nicht ausschalten!!!

Alt 06.01.2010, 20:12   #5
Chris4You
 
malware defense und security alert - Standard

malware defense und security alert



Hi,

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Drivers to delete:
H8SRTd.sys
 
Files to delete:
C:\WINDOWS\msb.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\settdebugx.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\wscsvc32.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\c.exe
C:\Programme\Malware Defense\mdefense.exe

Folders to delete:
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
C:\Programme\AskPBar
C:\Programme\Malware Defense
         
3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.01.2010, 23:23   #6
Capella
 
malware defense und security alert - Standard

malware defense und security alert



Die avenger log habe ich nicht mehr. Scheint aber alles geklappt zu haben. Es kommen keine fenster mehr!

Hier die MAM Log:


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3504
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

06.01.2010 23:13:15
mbam-log-2010-01-06 (23-13-15).txt

Scan-Methode: Vollständiger Scan (C:\|I:\|)
Durchsuchte Objekte: 388399
Laufzeit: 1 hour(s), 49 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\coresrv.lfgax (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\coresrv.lfgax.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b0cb585f-3271-4e42-88d9-ae5c9330d554} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\coresrv.coreservices (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\coresrv.coreservices.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\sshnas.dll (Trojan.Downloader) -> Delete on reboot.
C:\Avenger\settdebugx.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Avenger\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Avenger\Temp\d.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Avenger\Temp\sshnas.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Avenger\Temp\a.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IH52CXG4\eHf7ba66a5V0100f070006R8de80be1102Tbcfe1d00201l000730dP000301080[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\EasyBurning\compare.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Programme\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc808.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc794\mdefense.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc794\mdext.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc794\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP472\A0156483.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTcrbuwnsxrh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTibwkmxodul.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTkmlxtpfaiw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRTdyiyejgvfl.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTslyabayvir.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
         

Allersdings ging beim Löschen der Objekte mehrmals AntVir an, wegen Warnung. habe dann als auf zugriff verweigern geklickt. Sind die jetzt aber trotzdem gelöscht? Soll ich die in Quarantäne lassen oder ganz löschen?
Wieso waren eini0ge Objekte in dem avenger Ordner? Wurden die von avenger nicht gelöscht?

Alt 06.01.2010, 23:31   #7
Chris4You
 
malware defense und security alert - Standard

malware defense und security alert



Hi,

nein, Avenger legt ein Backup an (das wurde gefunden und "bereinigt").

Wenn Avira den Zugriff verweigert hat, dann konnte MAM die Daten auch nicht löschen! Nimm den Rechner vom Netzt, update vorher noch mal MAM, trenne dann, schalte Avira-Guard aus, Fullscan mit MAM & alles bereinigen lassen. Neu booten, Avira an und Fullscan mit Avira. Logs noch mal posten...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 07.01.2010, 19:30   #8
Capella
 
malware defense und security alert - Standard

malware defense und security alert



Hier das MAM-log. hat aber nix ,ehr gefunden.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3504
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

07.01.2010 13:38:49
mbam-log-2010-01-07 (13-38-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 369084
Laufzeit: 1 hour(s), 25 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Hier das Avira-Log:


Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 7. Januar 2010  14:31

Es wird nach 1503943 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir Personal - FREE Antivirus
Seriennummer:     0000149996-ADJIE-0000001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     CHRIS

Versionsinformationen:
BUILD.DAT     : 8.2.0.354      17048 Bytes  23.10.2009 13:15:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 16:21:42
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 17:23:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 17:23:06
LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 17:23:06
ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 14:59:02
ANTIVIR1.VDF  : 7.10.1.11    1395568 Bytes  19.11.2009 14:59:37
ANTIVIR2.VDF  : 7.10.2.140   1769376 Bytes  07.01.2010 13:30:40
ANTIVIR3.VDF  : 7.10.2.141     36864 Bytes  07.01.2010 13:30:40
Engineversion : 8.2.1.130 
AEVDF.DLL     : 8.1.1.2       106867 Bytes  16.09.2009 15:36:40
AESCRIPT.DLL  : 8.1.3.7       594296 Bytes  04.01.2010 19:12:15
AESCN.DLL     : 8.1.3.0       127348 Bytes  10.12.2009 15:39:52
AESBX.DLL     : 8.1.1.1       246132 Bytes  24.11.2009 14:59:58
AERDL.DLL     : 8.1.3.4       479605 Bytes  01.12.2009 14:46:33
AEPACK.DLL    : 8.2.0.4       422263 Bytes  04.01.2010 19:12:09
AEOFFICE.DLL  : 8.1.0.38      196987 Bytes  18.06.2009 14:19:53
AEHEUR.DLL    : 8.1.0.192    2195833 Bytes  04.01.2010 19:12:05
AEHELP.DLL    : 8.1.9.0       237943 Bytes  16.12.2009 19:09:31
AEGEN.DLL     : 8.1.1.83      369014 Bytes  04.01.2010 19:11:50
AEEMU.DLL     : 8.1.1.0       393587 Bytes  08.10.2009 06:58:52
AECORE.DLL    : 8.1.9.1       180598 Bytes  10.12.2009 15:39:51
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 11:48:28
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 17:23:06
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 17:23:06
AVREP.DLL     : 8.0.0.3       155688 Bytes  20.04.2009 17:04:18
AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 17:23:06
AVARKT.DLL    : 1.0.0.23      307457 Bytes  15.04.2008 18:55:40
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 17:23:06
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  15.04.2008 18:55:40
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 17:23:06
NETNT.DLL     : 8.0.0.1         7937 Bytes  15.04.2008 18:55:40
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18.07.2008 17:23:00
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18.07.2008 17:23:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, I:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 7. Januar 2010  14:31

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '81052' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitnet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSI US54EX Wireless Client Utility.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MESSENGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RssReader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZCSLDR2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AirGCFG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'I:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '66' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Avenger\Temp\b.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae376.qua' verschoben!
C:\Avenger\Temp\e.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae386.qua' verschoben!
C:\Avenger\Temp\f.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrj
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae38c.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\Anti-Virus\Aquarius\cran.cvd
    [FUND]      Enthält Erkennungsmuster des Trivial-28 (A)-Virus
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba6e402.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\Anti-Virus\Aquarius\cran.ivd
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c177acb.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\Anti-Virus\Aquarius\jpeg.xmd
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae40c.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\updates\aquawin32\cran.cvd
    [FUND]      Enthält Erkennungsmuster des Trivial-28 (A)-Virus
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba6e410.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\updates\aquawin32\cran.ivd
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba6e411.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\updates\aquawin32\jpeg.xmd
    [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae42b.qua' verschoben!
C:\Avenger\Temp\plugtmp-2\plugin-
    [0] Archivtyp: PDF Stream
    --> Object
      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.PDF.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbae42d.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\c.exe.q_Quarantine_5B5EA202_q
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrj
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae4b3.qua' verschoben!
C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\Sun\Java\jdk1.6.0_11\sd160110.cab
    [0] Archivtyp: CAB (Microsoft)
    --> applets.zip
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Christopher\Eigene Dateien\Programmiersoftware\Basic\fgfg.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bac0544.qua' verschoben!
C:\Programme\brutus-aet2\BrutusA2.exe
    [FUND]      Enthält Erkennungsmuster des SPR/Brutus-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbb0939.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156732.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8b.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156733.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89304.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156734.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8c.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156735.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89305.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156736.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8e.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156737.exe
    [FUND]      Ist das Trojanische Pferd TR/Drop.Softomat.AN
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8f.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156738.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c90.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156739.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89319.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156740.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c92.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156741.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd8931b.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156744.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c91.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156759.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd8931a.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156760.dll
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrf
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c93.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157377.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d88.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157685.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d96.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157686.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrk
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d97.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157687.exe
    [FUND]      Ist das Trojanische Pferd TR/FraudPack.ajrj
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d98.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157688.exe
    [FUND]      Enthält Erkennungsmuster des SPR/Brutus-Programmes
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89211.qua' verschoben!
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.


Ende des Suchlaufs: Donnerstag, 7. Januar 2010  19:10
Benötigte Zeit:  4:39:20 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  22521 Verzeichnisse wurden überprüft
 1324717 Dateien wurden geprüft
     31 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     31 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 1324685 Dateien ohne Befall
   7524 Archive wurden durchsucht
      6 Warnungen
     31 Hinweise
  81052 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         


Ist das normal, dass man 6 mal die svchost.exe in den System-Prozessen hat?

Alt 07.01.2010, 20:00   #9
Chris4You
 
malware defense und security alert - Standard

malware defense und security alert



Hi,

ja, ist möglich, die wird für alles mögliche benutz, auch Malware benutzt sie um getarnt ins Internet zu können. Du hast schon selbst versucht mit Avenger was zu bereinigen, oder?

Gefällt mir noch nicht, daher:
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 08.01.2010, 12:38   #10
Capella
 
malware defense und security alert - Standard

malware defense und security alert



Also irgendwas stimmt DA NICHT!!! Ich habe combofix gestartet. Er ist runtergefahren. Dann ist er aber 50 mal hoch- und runtergefahren. dann habe ich ihn manuell ausgeschlatet. Er konnte aber dann auch nicht mehr hochfahren. Ich konnte nicht mal in den abgesicherten Modus, ich konnte nur die als letzt belannte Konfiguration auswählen. Das System sieht aber so aus wie Win 95 oder so und ich kann kein Gerätemanager oder Netzwerkumgebung wählen.

Was ist da passiert zur Hölle??!!

Was muss ich machen!!

Alt 08.01.2010, 13:54   #11
Chris4You
 
malware defense und security alert - Standard

malware defense und security alert



Hi,

da hat sich was tief in Dein System eingegraben und beim Versuch es zu entfernen haben sich die zwei (CF und Malware) wohl ineinander "verbissen".

Boote von der XP-CD und führe eine Reparaturinstallation durch. Programme und Daten sollten dabei erhalten bleiben...

Alternativ kannst Du wie folgt vorgehen:
Systemdateien prüfen:
Öffne eine Commandshell (Start->Ausführen cmd) und schreib rein:
sfc /scannow
Geht das ?

Was sind die Fehlermeldungen die Du beim Aufruf des Gerätemanagers etc. bekommst?

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 08.01.2010, 20:09   #12
Capella
 
malware defense und security alert - Standard

malware defense und security alert



Bim Gerätemanager steht: Auf das Geräääät, Pfad oder Datei konnte nicht zugegriffen werden. Sie verfügen evt. nicht über die Berechtigungen.

So ungefähr. Ich bin gerade auf einen andern PC, weil ja bei mir das INternet nicht geht.

Alt 08.01.2010, 22:58   #13
Chris4You
 
malware defense und security alert - Standard

malware defense und security alert



Hi,

das kann alles mögliche sein.
Probiere erst die Systemdateiüberprüfung (den sfc-Scann) und wenn das nichts bringt die Reparaturinstallation.

Hattest Du wie beschrieben die Antivirenlösung beim Scannen ausgeschaltet?

Wir werden wahrscheinlich von aussen mal auf den PC schauen müssen...

Wenn es geht, führe bitte noch mal ein OTL-Log aus....

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 09.01.2010, 09:50   #14
Capella
 
malware defense und security alert - Standard

malware defense und security alert



Als der sfc-scan war fertig, hat aber keine Meldung oder so angezeigt. ISt das gut so? Was kann ich dann machen?

Ich habe auch versucht emeine <<<daten zu sichern, aber ich konnt nix auf mein USB Stick ziehen?

Ich habe auch die XP-Cd eingelegt. Aber dort komme ich nur zu einer Widerherstellungskonsole?! Und habe keine Ahnung, was ich da eingeben muss?

Antivir hatte ich aus.

Ich muss irgendwie meine Daten retten, dann installiere ich XP einfach komplett neu, oder?

Ich sitze halt gerad ean einem anderen PC, da ist das nicht so einach mit OTL. mal schauen.

Alt 09.01.2010, 10:56   #15
Chris4You
 
malware defense und security alert - Standard

malware defense und security alert



Hi,

folge den Anweisungen hier:
http://www.supportnet.de/faqsthread/878

Achte darauf, dass der Rechner dabei nicht am Internet hängt, alle Systemupdates etc. müssen nachinstalliert werden...
Und noch was. Manch einer verkauft Rechner mit einer Recoveryversion, die keine Reparaturinstallation zulässt bzw. im schlimmsten Fall gleich das ganze System "bügelt"...

Für den Fall:
Universal Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Auch zur Datensicherung sind Anwendungen an Board (siehe auch: http://www.ubcd4win.com/contents.htm)!

Tut mir leid, dass CF Dein System abgeschossen hat, das passiert äußerst selten (mir das erstemal), kann aber vorkommen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (09.01.2010 um 11:05 Uhr)

Antwort

Themen zu malware defense und security alert
aktiv, alert, combofix, deutsch, experte, expertenmeinung, falsches, fensteröffnen, klicke, laufe, laufen, malware, meinung, minute, minuten, net-worm.win32.mytob.t, nicht öffnen, problem, protection, security, security alert, taskleiste, virus, windows, windows alert, windows security, öffnen, öffnet



Ähnliche Themen: malware defense und security alert


  1. Microsoft Security Essentials Alert --> Malwarebytes Anti-Malware ... und weiter?
    Antiviren-, Firewall- und andere Schutzprogramme - 14.02.2011 (8)
  2. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (1)
  3. Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (26)
  4. Windows Security Alert / AV Security Suite / Antivirus Software Alert / gefakter AV lähmt PC
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (3)
  5. Malware / Virus / Trojaner - "Windows Security Alert / Security Suite"
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (11)
  6. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (21)
  7. Windows Security Alert / AV Security Suite / Antivirus Software Alert// Ohne Internet
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (1)
  8. windows security alerts + malware defense
    Log-Analyse und Auswertung - 17.02.2010 (2)
  9. Problem mit Malware Defense/Security Alert-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.01.2010 (0)
  10. Malware Defense/Security Alert-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (45)
  11. PC friert ein, AntiVir und Co wird geblockt, Malware Defence, Security Center Alert
    Plagegeister aller Art und deren Bekämpfung - 17.01.2010 (1)
  12. Windows Security Alerts/ Malware Defense Trojaner
    Log-Analyse und Auswertung - 16.01.2010 (2)
  13. Malware Defense/Security Alert --->Alles beseitigt?
    Plagegeister aller Art und deren Bekämpfung - 11.01.2010 (8)
  14. Windows Security Alert und Malwere Defense!
    Plagegeister aller Art und deren Bekämpfung - 07.01.2010 (1)
  15. Windows Security Alert/Malware Defense
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (7)
  16. Malware Defensive, Windows Security Alert usw
    Plagegeister aller Art und deren Bekämpfung - 04.01.2010 (1)
  17. Windows Security Alert / Malware Defense
    Plagegeister aller Art und deren Bekämpfung - 02.01.2010 (7)

Zum Thema malware defense und security alert - hallo, ich habe exakt daselbe Problem wie hier: http://www.trojaner-board.de/81170-m...blocker-2.html Also alle 2 Minuten öffnen sich 2 Fenster. Einmal ein windows alert security Fenster, dass sagt, dass ich ein Virus wie - malware defense und security alert...
Archiv
Du betrachtest: malware defense und security alert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.