Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Spy127488.88 in Quarantäne verschoben

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.07.2011, 10:05   #1
niobel
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Beginn des Suchlaufs: Dienstag, 26. Juli 2011 21:09
Hallo zusammen,
ich habe das erste mal eine Systemprüfung gestern gestartet (ich wollte ANtivirPersonal update starten). Es wurde etwas gefunden aber ich verstehe nicht wo das sein soll usw. hätte ich es auch selber sehen können??
Ich downloade nur Bilder in E-mails die aus der Familie kommen.
Gelesen habe ich in Google das es eine Maleware ist und am besten sei es das System neu zu installieren. Aber habe auch gelesen das für jedes Problem bzw. Trojaner eine individuelle Lösung gibt und was für den einen richtig ist nicht auch für mein Problem das richtige ist.
Kann ich jetzt überhaupt online-banking machen bzw. haben irgendwelche Leute von mir schon Daten aus meinem PC?
Dieser Report ist von gestern Abend, heute habe ich nochmal eineSystemprüfung gestartet der Report folgt nach dem ersten.

Der Suchlauf nach versteckten Objekten wird begonnen.
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Mustermann
Computername : Mustermann

onfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

HKEY_LOCAL_MACHINE\Software\Microsoft\MediaPlayer\Player\Extensions\MUIDescriptions\5
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\a1841308-3541-4fab-bc81-f71556f20b4a
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\program files (x86)\asus\atk package\atk hotkey\elantpcfg64.exe
c:\program files (x86)\asus\atk package\atk hotkey\elantpcfg64.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\program files (x86)\asus\atk package\atk hotkey\elantpcfg64.exe
c:\windows\syswow64\regsvr32.exe
c:\windows\syswow64\regsvr32.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsScrPro.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDC.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBFiltr.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControlUser.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMedia.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-tray.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'sensorsrv.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ControlDeckStartUp.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALU.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-server.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '22' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '92' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
C:\$Recycle.Bin\S-1-5-21-4172352573-715101471-2027179975-1000\$R43XFU1.exe
[FUND] Ist das Trojanische Pferd TR/Spy.127488.88
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\$Recycle.Bin\S-1-5-21-4172352573-715101471-2027179975-1000\$R43XFU1.exe
[FUND] Ist das Trojanische Pferd TR/Spy.127488.88
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7796cd.qua' verschoben!


Ende des Suchlaufs: Dienstag, 26. Juli 2011 23:31
Benötigte Zeit: 1:36:32 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

31516 Verzeichnisse wurden überprüft
810846 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
810845 Dateien ohne Befall
13413 Archive wurden durchsucht
0 Warnungen
6 Hinweise
504401 Objekte wurden beim Rootkitscan durchsucht
6 Versteckte Objekte wurden gefunden

Heute Morgen:


HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanServer\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\LanmanWorkstation\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBIOS\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\NetBT\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\Smb\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\services\TCPIP6\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions\microsoft-isatap-adapter
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\LanmanServer\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\LanmanServer\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\LanmanServer\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\LanmanWorkstation\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\LanmanWorkstation\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\LanmanWorkstation\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\NetBIOS\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\NetBIOS\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\NetBIOS\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\NetBT\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\NetBT\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\NetBT\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Smb\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Smb\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Smb\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\TCPIP6\Linkage\bind
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\TCPIP6\Linkage\route
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\TCPIP6\Linkage\export
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'notepad.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsScrPro.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDC.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBFiltr.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControlUser.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMedia.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-tray.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'sensorsrv.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALU.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'ControlDeckStartUp.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-server.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '22' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '224' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <OS>
Beginne mit der Suche in 'D:\' <DATA>


Ende des Suchlaufs: Mittwoch, 27. Juli 2011 10:05
Benötigte Zeit: 1:37:03 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.
31205 Verzeichnisse wurden überprüft
747301 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
747301 Dateien ohne Befall
13392 Archive wurden durchsucht
0 Warnungen
43 Hinweise
504134 Objekte wurden beim Rootkitscan durchsucht
43 Versteckte Objekte wurden gefunden

Was bedeutet versteckte Objekte? die waren ja gestern nicht da, voher kommen die bzw. was sind versteckte Objekte?
Danke für Eure Hilfe

Edit: ich habe keine merkbaren Probleme mit dem PC nur 2 halbe Tgae war wireless nicht verbunden mit dem Router was aber nicht sein konnte, da alles korrekt eingestellt war und plötzlich ohne das ich was gemacht habe ging´s wieder und ich konnte online gehen.

Viele Grüsse

Geändert von niobel (27.07.2011 um 10:16 Uhr) Grund: siehe Edit

Alt 27.07.2011, 12:18   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Zitat:
Was bedeutet versteckte Objekte? die waren ja gestern nicht da, voher kommen die bzw. was sind versteckte Objekte?
Das ist eine Eigenheit von AntiVir, man hat die Vermutung geäußert dass diese Objekte in der Registry andere Zugriffssrechte als sonst haben.


Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!




Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.
__________________

__________________

Alt 28.07.2011, 10:27   #3
niobel
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Hallo das erste habe ich gemacht aber bei Eset Scant es schon über 12 Stunden....ist das normal? Eset hat auch 1 Fund bei Win32/Toolbar.Zoolbar application.
Jetzt habe ich auch ausversehen Eset geschlossen, d.h. ich müsste mit dem Scann neu anfangen aber warum dauert es so lange? Über 12 Stunden war das normal? Soll ich es nochmal machen? Erst am Nachmittag bin ich wieder am PC.
Die Maleware-Log´s sind alle von gestern ältere Log´s von Maleware habe ich nicht.
Danke für die Hilfe
Viele Grüße
__________________
Angehängte Dateien
Dateityp: txt malewarebytes log.txt (1,1 KB, 172x aufgerufen)
Dateityp: txt mbam-log-2011-07-27 (20-06-44).txt (1,0 KB, 169x aufgerufen)
Dateityp: txt mbam-log-2011-07-27 (21-07-57).txt (1,1 KB, 195x aufgerufen)

Alt 28.07.2011, 10:37   #4
niobel
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Ich habe hier im ANhang Eset-Log ich habe gestern den Scan abgebrochen ausversehen und dann neu gestartet und das ging dann bis vorhin der Scan und den habe ich auch ausversehen (wie d.....muss man sein bzw. darf mein sein?) unterbrochen. Hier mal die einzige Eset Log die ich fand.
Angehängte Dateien
Dateityp: txt eset.txt (986 Bytes, 160x aufgerufen)

Alt 28.07.2011, 11:24   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.07.2011, 19:24   #6
niobel
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Hier die Log von OTL
Danke & Grüße
Angehängte Dateien
Dateityp: txt otl log teil 2.txt (51,0 KB, 161x aufgerufen)
Dateityp: txt extra..txt (43,9 KB, 191x aufgerufen)
Dateityp: txt otl log teil 1.txt (80,0 KB, 169x aufgerufen)

Geändert von niobel (28.07.2011 um 19:52 Uhr)

Alt 28.07.2011, 21:29   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\zdata\cobi.exe
[2010.07.17 22:51:46 | 000,000,000 | -HSD | M] -- C:\Users\ProMarkt\AppData\Roaming\.#
[2010.08.19 22:07:02 | 000,000,000 | ---D | M] -- C:\Users\ProMarkt\AppData\Roaming\AntiBrowserSpy 2009
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:15024E60
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:734E442A
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:A724744F
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2011, 07:44   #8
niobel
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found.
File E:\zdata\cobi.exe not found.
C:\Users\ProMarkt\AppData\Roaming\.# folder moved successfully.
C:\Users\ProMarkt\AppData\Roaming\AntiBrowserSpy 2009\Temp folder moved successfully.
C:\Users\ProMarkt\AppData\Roaming\AntiBrowserSpy 2009\saveall-temp folder moved successfully.
C:\Users\ProMarkt\AppData\Roaming\AntiBrowserSpy 2009 folder moved successfully.
ADS C:\ProgramData\Temp:15024E60 deleted successfully.
ADS C:\ProgramData\Temp:734E442A deleted successfully.
ADS C:\ProgramData\Temp:A724744F deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 07292011_083927

Alt 29.07.2011, 09:29   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2011, 10:33   #10
niobel
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Momentan merke ich nicht das eine Datei oder ein Programm nicht sichtbar ist, kann ich zur Sicherheit trotzdem unhide.exe downloaden? Im Anhang ist die Log von TDSS.

Viele Grüße

Alt 29.07.2011, 10:43   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2011, 12:22   #12
niobel
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Ich habe das Combo Fix durchgeführt, danach gab es einen Neustart und die Log wurde gespeichert. Danach konnte ich auf verschiedene Programme nicht zugreifen und IE und Firefox ging auch nicht. Ich habe dann den PC wieder neu gestartet und es ging trotzdem nicht. Ich konnte nur meine Bilder ansehen ansonsten kein Programm. Ich glaube das ich dann was falsches gemacht habe und zwar habe ich beim PC die Wiederherstellung durchgeführt und es wurde zum Zeitpunkt 28.07.2011 20:04 wiederhergestellt. Heisst das ich soll dann nochmal den ComboFix machen oder bringt das nichts oder brauche ich es nicht. Danke

Grüße
Angehängte Dateien
Dateityp: txt combofix.txt (17,2 KB, 150x aufgerufen)

Geändert von niobel (29.07.2011 um 12:35 Uhr)

Alt 29.07.2011, 13:43   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.07.2011, 15:21   #14
niobel
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



im Anhang das Log.
Angehängte Dateien
Dateityp: txt aswMBR txt.txt (1,8 KB, 135x aufgerufen)

Alt 29.07.2011, 15:28   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Spy127488.88 in Quarantäne verschoben - Standard

TR/Spy127488.88 in Quarantäne verschoben



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu TR/Spy127488.88 in Quarantäne verschoben
4d36e972-e325-11ce-bfc1-08002be10318, asus, avg, avira, bios, desktop, e-banking, e-mails, erste mal, gfnexsrv.exe, google, hotkey, lanmanworkstation, logbericht, lösung, maleware, microsoft, modul, namen, neu, notepad.exe, problem, prozess, prozesse, recycle.bin, registry, software, starten, system neu, tr/spy, tr/spy., trojaner, update, usb, versteckte objekte, verweise, virus, virus gefunden, windows



Ähnliche Themen: TR/Spy127488.88 in Quarantäne verschoben


  1. TR/crypt.ulpm.gm gefunden von AVIRA aber nur in Quarantäne verschoben
    Log-Analyse und Auswertung - 09.01.2015 (11)
  2. MWB hat PUM.Hijack.StartMenu gefunden und in Quarantäne verschoben
    Log-Analyse und Auswertung - 08.01.2015 (13)
  3. Windows 8: G data hat OptimizerPro in Quarantäne verschoben, wie eliminieren
    Plagegeister aller Art und deren Bekämpfung - 19.07.2014 (13)
  4. Antivir hat JS/iFrame.ahk.1 gefunden und in Quarantäne verschoben
    Plagegeister aller Art und deren Bekämpfung - 14.06.2014 (9)
  5. Ad Aware 11 hat meine pst in Quarantäne verschoben.
    Antiviren-, Firewall- und andere Schutzprogramme - 24.03.2014 (2)
  6. Windows 8, Avira meldet 25 Funde, 3 wurden in Quarantäne verschoben, was muss ich noch tun?
    Log-Analyse und Auswertung - 22.02.2014 (7)
  7. TR Trash Gen wir jede Stunde gefunden und in Quarantäne verschoben. Erscheint immer wieder
    Plagegeister aller Art und deren Bekämpfung - 13.02.2014 (5)
  8. AVIRA hat den Trojaner TR/Matsnu.G in Quarantäne verschoben, reicht das aus? Ist das System wieder sicher?
    Log-Analyse und Auswertung - 13.11.2013 (5)
  9. Trojanische Pferd TR/Injector.OH von Avira gefunden und in Quarantäne verschoben
    Plagegeister aller Art und deren Bekämpfung - 30.06.2013 (2)
  10. Virenfund in Quarantäne verschoben - Wie entfernen?
    Log-Analyse und Auswertung - 21.06.2013 (11)
  11. Audiodg.exe von G Data erkannt und in Quarantäne verschoben, kein Ton mehr...
    Log-Analyse und Auswertung - 06.05.2013 (7)
  12. nach bka trojaner pup.vsharedir mit malwarebytes gefunden und in quarantäne verschoben. was nun?
    Log-Analyse und Auswertung - 04.09.2012 (14)
  13. GVU Trojaner/ in Quarantäne verschoben...und nun?
    Plagegeister aller Art und deren Bekämpfung - 15.08.2012 (16)
  14. EXP/CVE-2012-0507 in Quarantäne verschoben! Weitere Schritte notwendig?
    Log-Analyse und Auswertung - 21.04.2012 (36)
  15. tr/crypt.xpack.gen gefunden, in Quarantäne verschoben, Explorer-Abstürze bleiben
    Log-Analyse und Auswertung - 15.05.2011 (20)
  16. JAVA/Dldr.Agent.D durch Antivir gefunden, in Quarantäne verschoben. Und nun?
    Antiviren-, Firewall- und andere Schutzprogramme - 18.08.2010 (10)
  17. TR/Click.Yabector.B.48 auf meinem PC aufgetaucht!in quarantäne verschoben,pc spinnt trotzdem.icq fun
    Plagegeister aller Art und deren Bekämpfung - 11.08.2010 (3)

Zum Thema TR/Spy127488.88 in Quarantäne verschoben - Beginn des Suchlaufs: Dienstag, 26. Juli 2011 21:09 Hallo zusammen, ich habe das erste mal eine Systemprüfung gestern gestartet (ich wollte ANtivirPersonal update starten). Es wurde etwas gefunden aber ich - TR/Spy127488.88 in Quarantäne verschoben...
Archiv
Du betrachtest: TR/Spy127488.88 in Quarantäne verschoben auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.