Hallo

Bekam eben die Warnung, dass der Wurm w32.worm.blaster mein System angegriffen hätte und ich mein System schützen müsse.
Daraufhin ploppte "Security protection" auf und zeigte mir eine grosse Anzahl von Bedrohungen mit der gleichzeitigen Aufforderung "Get full time protection now"

Ich habe sofort den PC vom Netz getrennt und wollte Antivir und Malwarebytes darüberlaufen lassen. Dies wurde aber jedesmal mit "Can not start" quittiert.
Sämtliche exe Anwendungen (RSIT usw.) werden auch nicht ausgeführt.

Es geht also nichts mehr. Wie bekomme ich dieses Problem wieder von der Backe ?
Wäre für eine Hilfestellung mehr als dankbar.

Win XP

VG
Der Bernd

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

Ich mach dir einen Vorschlag:
Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!:

- Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt, oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte. Dies bietet Dir die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen.

Zitat:

-> Systemwiederherstellung
► Bitte wähle das älteste verfügbare Datum für die Wiederherstellung von Windows aus, wo dein Rechner noch einwandfrei funktioniert hat!

• Du musst dich als Administrator oder als Benutzer mit Administratorrechten anmelden.
• Die Systemwiederherstellung lässt sich unter Windows Vista/XP/7 wie folgt aufrufen:
• ► Start → Alle Programme → Zubehör → Systemprogramme → Systemwiederherstellung

->Eine Schritt-für-Schritt-Anleitung zum Einsatz der Systemwiederherstellung unter Windows XP
->Systemwiederherstellung unter Windows Vista
->Unter Win 7
► Falls nötig, kannst Du es im abgesicherten Modus auch tun - (Link bitte unbedingt anklicken & lesen!)

Die Systemwiederherstellung ist nur ein "Notlösung", das Problem wird damit nie 100%ig beseitigt, da dem Zeitpunkt des Eindringen des Trojaners nicht mehr feststellen kann. Aber man kann damit die Funktionsfähigkeit eines Computersystems erhöhen.
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)

► berichte mir auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?

1.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Hallo Kira

Ergebnis der Wiederherstellung:

rstrui.exe can not start


Offenbar werden alle exe dateien geblockt.

Im Hintergrund läuft der Full PC Scan von Security Protection weiter.
Da ich annehme, dass das nicht wirklich das offizielle programm ist, habe ich es gestoppt

Wie geht es denn jetzt weiter ?

Viele Grüsse

Der Bernd

- hast Du die Systemwiederherstellung im abgesicherten Modus auch versucht? [F8] drücken bevor das Windows-Logo erscheint
- Du kannst auch noch die folgenden Methoden ausprobieren, um das Problem zu beheben.:-> Verwenden der letzten als funktionierend bekannten Konfiguration

- wenn nicht, dann mache einfach weiter wie ich beschrieben habe

Hallo Kira

Die SWH im abgesicherten Modus hat funktioniert.
Da ich den befallenen PC vom Netz getrennt habe, müsste ich die logfiles per USB Stick auf den aktiven Internet PC laden. gehe ich da nicht die Gefahr der Verseuchung ein ?

Nachtrag:
Der OTL scan stoppt bei HKEY_CURRENTUSER\Internet Explorer settings

VG
Der Bernd

Habe mich jetzt doch ins Netz gewagt (ging allerdings nur mit explorer, der Firefox zeigt keinerlei Reaktion)und die alte Version OTL 3.2.9 durch 3.2.23.0 ersetzt.
Jetzt läuft der Scan bis Firefox und sitzt da fest.

Kann das evtl. mit dem Firefox update auf Version 4 zusammenhängen ?
Den hatte ich vor ca 3 Tagen gestartet, die systemherstellung hatte ich auf den 2.6. gesetzt ?

Update
Habe jetzt die Systemwiederherstellung auf den 3.6. gesetzt, der Firefox läuft wieder, der OTL Scan steigt aber nach wie vor bei "Scanning Firefox settings" aus

VG
Der Bernd

WUNDERBAR !!

Jetzt habe ich auch noch als Dreingabe den Ukash ;-)
Das ist jetzt aber eher ein Verzweiflungsgrinsen

Wie wären denn jetzt die weiteren Schritte, jetzt ist nur noch dieses mit Schreibfehlern gespickte Pamphlet des "BKA" auf meinem Bildschirm

Abgesicherter Modus bringt auch nur die bekannte Seite :-(

Kann nur hoffen, das mir der aktuelle PC hier verschont bleibt

VG

Der Bernd

machen wir so:

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code: Alles auswählenAufklappen

  ATTFilter

  mbr.exe -t > C:\mbr.log & C:\mbr.log
           

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

3.
Falls nicht vorhanden:
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

4.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

5.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

6.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

7.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

Hallo Kira

Ich habe aktuell keinen Zugriff auf mein System, es erscheint immer nur dieser BKA Bildschirm, es geht auch nicht im abgesicherten Modus !!

Die Kommunikation läuft von einem anderen PC

VG
Der Bernd

hast Du wichtige Daten drauf? wenn ja, dann kannst Du versuchen mit einer Linux-Live-CD (z.B Knoppix) auf deine Windows Partition zugreifen, auch einigermaße bereinigen um erst mal wichtige Daten zu retten:

• Knoppicillin - bootfähige Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall-->Bebilderte Anleitung
• Knoppix--> Datei:Knoppix-logo.svg
• Ubuntu--> Download/ubuntu.com
• kannst Du auch auf einem USB Stick `installieren`-->* Installation* FromUSBStick--> Anleitung 1.-->Anleitung 2. - (Aktuell halten, das Update umgehend einspielen, dies geht etwa über die eingebaute Update-Funktion)
• Ubuntu-CD Problembehebung
• Avira AntiVir Rescue System
• Viren jagen mit Knoppix
• WinPE/BartPE
• Dr.Web® LiveCD
• Kaspersky

dann deine Festplatte formatieren und Windows neu einrichten

wenn nicht, dann einfach die Windows-CD in das CD-ROM-Laufwerk stecken und das System formatieren

Hallo Kira
Habe jetzt die Kaspersky Rescue Disk 10 zum Booten gebracht.
Da ich zwei externe Festplatten mit 1,5 und 2 TB zu scannen habe, wird das Ergebnis vermutlich erst morgen früh zu sehen sein.
Mir wäre es recht, wenn das Ganze ohne formatieren gehen würde, da es schon eine Menge Daten sind, welche da abgezogen werden müssten (Das meiste wurde erst vor einer Woche gesichert, aber die ungesicherten müsste ich alle noch identifizieren...)
Ich möchte mich zwischendurch mal ganz herzlich für die wirklich kompetente Hilfe bedanken.
VG
Der Bernd

ich drücke dir die Daumen es zu hoffen, dass Du es schaffst

Hallo Kira

Kaspersky hat mehrere trojaner gefunden , konnte sie aber nicht desinfizieren.
Ein MBR Rootkit wurde entfernt.
Ein WinXP Neustart ergab aber wieder das bekannte BKA Bild-
Nun habe ich an mehreren Stellen hier im Board von der Methode
OTLPeNet.exe gelesen
Habe mir dies und den ISOBurner auch heruntergeladen, kann aber keine ISO Datei
von OTLPenet finden
Könntest Du mir bitte in dieser Richtung weiterhelfen, da ich es vermeiden möchte zu formatieren.

VG

Der Bernd

Hi Kira

Ich habe es mittlerweile geschafft, mittels abgesichertem Modus mit Eingabeaufforderung eine Systemwiederherstellung zu aktivieren.
Ein Quick Scan von MB lief bereits, der OLT bleibt immer bei Firefox hängen
(Könnte das sein, dass das Firefox4 Update ein Fake mit Trojaneranhang war ?)
Jetzt läuft der Vollscan von Malwarebytes.

VG
Der Bernd

Guten Morgen Kira

Hier jetzt mal die verfügbaren Reports

Antivir

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 7. Juni 2011  16:54

Es wird nach 2733519 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : user
Computername   : USER-X82AV5ZSOK

Versionsinformationen:
BUILD.DAT      : 10.0.0.648     31823 Bytes  01.04.2011 18:23:00
AVSCAN.EXE     : 10.0.4.2      442024 Bytes  27.04.2011 09:40:08
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 11:42:16
LUKE.DLL       : 10.0.3.2      104296 Bytes  08.12.2010 17:08:27
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 11:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 19:07:21
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 18:11:17
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 10:40:30
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 09:40:49
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 05:49:38
VBASE005.VDF   : 7.11.8.179      2048 Bytes  31.05.2011 05:49:38
VBASE006.VDF   : 7.11.8.180      2048 Bytes  31.05.2011 05:49:38
VBASE007.VDF   : 7.11.8.181      2048 Bytes  31.05.2011 05:49:38
VBASE008.VDF   : 7.11.8.182      2048 Bytes  31.05.2011 05:49:38
VBASE009.VDF   : 7.11.8.183      2048 Bytes  31.05.2011 05:49:38
VBASE010.VDF   : 7.11.8.184      2048 Bytes  31.05.2011 05:49:38
VBASE011.VDF   : 7.11.8.185      2048 Bytes  31.05.2011 05:49:38
VBASE012.VDF   : 7.11.8.186      2048 Bytes  31.05.2011 05:49:38
VBASE013.VDF   : 7.11.8.222    121856 Bytes  02.06.2011 09:40:21
VBASE014.VDF   : 7.11.9.7      134656 Bytes  04.06.2011 11:54:00
VBASE015.VDF   : 7.11.9.42     136192 Bytes  06.06.2011 12:53:53
VBASE016.VDF   : 7.11.9.43       2048 Bytes  06.06.2011 12:53:54
VBASE017.VDF   : 7.11.9.44       2048 Bytes  06.06.2011 12:53:54
VBASE018.VDF   : 7.11.9.45       2048 Bytes  06.06.2011 12:53:54
VBASE019.VDF   : 7.11.9.46       2048 Bytes  06.06.2011 12:53:54
VBASE020.VDF   : 7.11.9.47       2048 Bytes  06.06.2011 12:53:54
VBASE021.VDF   : 7.11.9.48       2048 Bytes  06.06.2011 12:53:54
VBASE022.VDF   : 7.11.9.49       2048 Bytes  06.06.2011 12:53:54
VBASE023.VDF   : 7.11.9.50       2048 Bytes  06.06.2011 12:53:54
VBASE024.VDF   : 7.11.9.51       2048 Bytes  06.06.2011 12:53:54
VBASE025.VDF   : 7.11.9.52       2048 Bytes  06.06.2011 12:53:54
VBASE026.VDF   : 7.11.9.53       2048 Bytes  06.06.2011 12:53:54
VBASE027.VDF   : 7.11.9.54       2048 Bytes  06.06.2011 12:53:54
VBASE028.VDF   : 7.11.9.55       2048 Bytes  06.06.2011 12:53:54
VBASE029.VDF   : 7.11.9.56       2048 Bytes  06.06.2011 12:53:54
VBASE030.VDF   : 7.11.9.57       2048 Bytes  06.06.2011 12:53:54
VBASE031.VDF   : 7.11.9.69     113152 Bytes  07.06.2011 12:53:55
Engineversion  : 8.2.5.12  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  05.12.2010 17:02:35
AESCRIPT.DLL   : 8.1.3.65     1606010 Bytes  29.05.2011 10:07:50
AESCN.DLL      : 8.1.7.2       127349 Bytes  05.12.2010 17:02:35
AESBX.DLL      : 8.2.1.34      323957 Bytes  02.06.2011 09:41:00
AERDL.DLL      : 8.1.9.9       639347 Bytes  26.03.2011 07:05:50
AEPACK.DLL     : 8.2.6.8       557430 Bytes  18.05.2011 09:39:49
AEOFFICE.DLL   : 8.1.1.25      205178 Bytes  02.06.2011 09:40:56
AEHEUR.DLL     : 8.1.2.123    3502456 Bytes  02.06.2011 09:40:54
AEHELP.DLL     : 8.1.17.2      246135 Bytes  21.05.2011 09:39:48
AEGEN.DLL      : 8.1.5.6       401780 Bytes  21.05.2011 09:39:48
AEEMU.DLL      : 8.1.3.0       393589 Bytes  05.12.2010 17:02:35
AECORE.DLL     : 8.1.21.1      196983 Bytes  26.05.2011 09:39:47
AEBB.DLL       : 8.1.1.0        53618 Bytes  05.12.2010 17:02:35
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 11:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 11:59:07
AVREP.DLL      : 10.0.0.10     174120 Bytes  18.05.2011 09:39:49
AVREG.DLL      : 10.0.3.2       53096 Bytes  05.12.2010 17:02:35
AVSCPLR.DLL    : 10.0.4.2       84840 Bytes  27.04.2011 09:40:08
AVARKT.DLL     : 10.0.22.6     231784 Bytes  08.12.2010 17:08:25
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 09:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 12:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 15:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 14:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 13:10:08
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  05.12.2010 17:02:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 7. Juni 2011  16:54

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'RarZillaFreeUnrar.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'mshta.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1635' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\temp\jar_cache1004135436770308440.tmp
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AK
--> google/chugun.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AK
--> google/kipoltyrew.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AL
--> google/monter.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AM
--> google/nterhoop.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AN
--> google/openlir.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.KG
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\335d4f91-50bba426
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
--> google/stomp.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41\37296ea9-7feb9d98
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CU
--> MessageStack/Template.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CU
--> tools/Commander.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CW
--> tools/Syntax.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CV
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\504db5ee-5ca939fb
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1184
--> ClassPol.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1184
--> padle.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1504
--> hubert.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.4794
--> CusBen.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.7976
--> Trollllllle.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.4653
--> Clrepor.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.1113
--> Cload.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.3130
--> novell.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.838
--> a.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.10515
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Thunderbird\Profiles\qqn3p6eu.default\Mail\POP3.web-3.de\Junk
[0] Archivtyp: Netscape/Mozilla Mailbox
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.32856
  --> Mailbox_[From: "PayPal"<service@paypal.com>][Subject: Please review information][Message-ID: <LINK1c1aF6TXvCsLCXP000000b6@link-uk.co.uk>]1014.mim
    [1] Archivtyp: MIME
--> Resolution Center2..html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.32856
--> Mailbox_[From: "Postbank"<info@postbanke.de>][Subject: Postbank Online-Banking][Message-ID: <E1Np3ZT-0002Z4-00@mx43.web.de>]1060.mim
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Postbanke.A
--> file0.html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Postbanke.A
  --> Mailbox_[From: PayPal Security Updates <security.update@paypal][Subject: NOTE: *** Your account may be automatically lim][Message-ID: <20100608053703.863DE831A7972DF8@paypal-updates]1640.mim
    [1] Archivtyp: MIME
--> PayPal_Security_Measures.html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/PayPal.27959
  --> Mailbox_[From: PayPal Security <security.departament@paypal-ku][Subject: NOTICE: *** For the security of your account we][Message-ID: <20100628172400.0BA558F931949807@paypal-kunden.]1776.mim
    [1] Archivtyp: MIME
    --> file1.mim
      [2] Archivtyp: MIME
--> PayPaI_Form.html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/PayPal.27959
  --> Mailbox_[From: "PayPal Service Inc." <service@nopaypal.de>][Subject: Your account access is limited.][Message-ID: <20100723023049.A414E35AC74F8261@nopaypal.de>]1964.mim
    [1] Archivtyp: MIME
--> Limited_Access.html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/PayPal.27959
  --> Mailbox_[From: PayPal Limited Accounts <limited.accounts@Paypa][Subject: For the security of your account we require a p][Message-ID: <20100804012531.253D5123A4921790@Paypal-Advisor]2056.mim
    [1] Archivtyp: MIME
--> PayPal_Limited_Form.html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/PayPal.27959
  --> Mailbox_[From: PayPal Security Terms of Use <security.terms@pa][Subject: According to our Terms of Use you need to re-co][Message-ID: <20101026045506.FA4DD3B75CBCD9B7@paypal-terms.o]2502.mim
    [1] Archivtyp: MIME
--> PayPal_Security_Terms.html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/PayPal.27959
  --> Mailbox_[From: "PayPal Inc."<contact@garminservice.de>][Subject: Publication statement on-line.][Message-ID: <auto-000000584042@luthor.local>]2808.mim
    [1] Archivtyp: MIME
--> Online Statment.html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/PayPal.27959
  --> Mailbox_[From: "PayPal"<update@paypal.de>][Subject: You have a new message from PayPal !][Message-ID: <STELLARNUpuabjKoMFY000004bc@toniq.com.au>]2820.mim
    [1] Archivtyp: MIME
--> PayPal_Limited_Form.html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/PayPal.27959
  --> Mailbox_[From: PayPal Account Status <notification@status-payp][Subject: Account Status Notification !][Message-ID: <20110128123925.A8A9EECACD4B19F5@status-paypal.]2826.mim
    [1] Archivtyp: MIME
--> Account_Status_Notification.html
[FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/PayPal.27959
  [WARNUNG]   Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\temp\jar_cache1004135436770308440.tmp
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AK
--> google/chugun.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AK
--> google/kipoltyrew.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AL
--> google/monter.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AM
--> google/nterhoop.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AN
--> google/openlir.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.KG
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\temp\jar_cache1004135436770308440.tmp
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AK
--> google/chugun.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AK
--> google/kipoltyrew.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AL
--> google/monter.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AM
--> google/nterhoop.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AN
--> google/openlir.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.KG
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\temp\jar_cache1004135436770308440.tmp
[0] Archivtyp: ZIP
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AK
--> google/chugun.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AK
--> google/kipoltyrew.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AL
--> google/monter.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AM
--> google/nterhoop.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Small.AN
--> google/openlir.class
[FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.KG

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Thunderbird\Profiles\qqn3p6eu.default\Mail\POP3.web-3.de\Junk
  [FUND]      Enthält Erkennungsmuster der Phish-Datei/Email PHISH/PayPal.27959
  [WARNUNG]   Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\504db5ee-5ca939fb
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.10515
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd1a461.qua' verschoben!
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41\37296ea9-7feb9d98
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.CV
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54448bdd.qua' verschoben!
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\335d4f91-50bba426
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/MundGura.D
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '061ed131.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\temp\jar_cache1004135436770308440.tmp
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.KG
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '606c9f1d.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 8. Juni 2011  06:55
Benötigte Zeit: 10:15:58 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  20709 Verzeichnisse wurden überprüft
 455321 Dateien wurden geprüft
     44 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 455277 Dateien ohne Befall
  32581 Archive wurden durchsucht
      1 Warnungen
      5 Hinweise
 536517 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
         

Malwarebytes

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6796

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.06.2011 16:40:29
mbam-log-2011-06-07 (16-40-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 297793
Laufzeit: 1 Stunde(n), 11 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{fa5e33a5-cbae-4dd3-aa00-6dcefc00f470}\RP551\A0281775.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.