| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: braviax.exe geht nicht weg ;-(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
21.08.2009, 17:53
| #1 |
  |  braviax.exe geht nicht weg ;-( Hattest du auch alle Laufwerke während des ComboFixlaufes angeschlossen? Waren die gecrypteten Festplatten zugänglich? ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
21.08.2009, 18:55
| #2 |
 | braviax.exe geht nicht weg ;-( ja. habe ich extra drauf geachtet. hab sogar vorher noch auf alle zugegriffen...
__________________sven |
|
21.08.2009, 19:49
| #3 | ||
| | braviax.exe geht nicht weg ;-( Ich wollte nur sicher gehen.
__________________ Wurde der USB-Stick an mehreren Rechner benutzt? Du musst davon ausgehen, das alle Rechner infiziert wurden. Zitat:
 Was'n'das?Zitat:
1.) Deinstalliere:
Code:
ATTFilter KILLALL::
Driver::
soqwx32
JavaQuickStarterService
LightScribeService
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{24912a9f-2dec-11de-91ee-00235459f913}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e4ab380-2e81-11de-91f1-00224343ed7e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45444d91-ede9-11dd-9133-00224343ed7e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5151e45e-67bf-11dd-865e-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6938932c-54e7-11de-9248-002243b12177}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a29e5eaa-cb65-11dd-90b0-002243b12177}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4bf84e5-f103-11dd-913e-00224343ed7e}]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
"UpdatesDisableNotify"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
Folder::
C:\rsit
C:\Config.Msi
C:\Programme\Spyware Terminator
c:\programme\AskSearch
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
File::
c:\dokumente und einstellungen\Concept21\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\install.txt
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. 3.) Installiere (Toolbars immer abwählen, Haken weg):
ciao, andreas
__________________ |
|
21.08.2009, 20:00
| #4 |
| | braviax.exe geht nicht weg ;-( wird gemacht ULTRA VNC ist ein remote programm, ich das und rocketdock gleich mitrunter... |
|
21.08.2009, 21:14
| #5 |
| | braviax.exe geht nicht weg ;-(Code:
ATTFilter ComboFix 09-08-20.07 - Chef 21/08/2009 22:00.2.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1015.579 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Chef\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Chef\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FILE ::
"c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
"c:\dokumente und einstellungen\Chef\Anwendungsdaten\install.txt"
"c:\dokumente und einstellungen\Concept21\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
"c:\windows\tasks\Auf Updates für Windows Live Toolbar prüfen.job"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Chef\Anwendungsdaten\install.txt
c:\dokumente und einstellungen\Concept21\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_LIGHTSCRIBESERVICE
-------\Service_LightScribeService
-------\Service_soqwx32
((((((((((((((((((((((( Dateien erstellt von 2009-07-21 bis 2009-08-21 ))))))))))))))))))))))))))))))
.
2010-08-13 15:15 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-08-16 20:25 . 2009-08-16 20:25 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Malwarebytes
2009-08-16 20:25 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-16 20:25 . 2009-08-16 20:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-16 20:25 . 2009-08-16 20:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-16 20:25 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-16 20:00 . 2009-08-16 21:20 -------- d-----w- c:\programme\Trend Micro
2009-08-14 19:07 . 2009-08-14 19:07 -------- d-----w- c:\dokumente und einstellungen\Chef\dwhelper
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-21 19:29 . 2009-07-16 21:54 -------- d-----w- c:\programme\UltraVNC
2009-08-21 19:28 . 2008-11-22 11:45 -------- d-----w- c:\programme\RocketDock
2009-08-21 19:19 . 2008-08-11 17:22 -------- d-----w- c:\programme\Java
2009-08-21 19:09 . 2008-08-11 16:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-08-21 19:03 . 2008-08-11 16:54 -------- d-----w- c:\programme\Windows Live Toolbar
2009-08-21 11:34 . 2008-11-22 13:49 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3
2009-08-17 19:46 . 2009-01-05 22:59 2984 --sha-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-08-17 19:46 . 2009-01-05 22:59 2984 --sha-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-08-17 14:02 . 2009-02-24 22:36 -------- d-----w- c:\programme\Password-Finder
2009-08-11 21:26 . 2008-12-04 22:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-08-05 22:19 . 2009-05-01 19:09 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2008-08-11 14:04 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-28 19:33 . 2008-12-17 22:46 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\skypePM
2009-07-17 19:01 . 2008-08-11 14:04 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2008-08-11 14:04 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-09 11:35 . 2008-08-11 14:04 64820 ----a-w- c:\windows\system32\perfc007.dat
2009-07-09 11:35 . 2008-08-11 14:04 394478 ----a-w- c:\windows\system32\perfh007.dat
2009-06-26 16:49 . 2008-08-11 14:04 672256 ------w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2008-08-11 14:04 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-25 20:44 . 2009-06-25 20:36 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Move Networks
2009-06-25 08:25 . 2008-08-11 14:04 54272 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:25 . 2008-08-11 14:04 56832 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:25 . 2008-08-11 14:04 147456 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:25 . 2008-08-11 14:04 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:25 . 2008-08-11 14:04 737792 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:25 . 2008-08-11 14:04 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-24 11:18 . 2008-08-11 14:04 92928 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-23 14:01 . 2009-06-23 14:01 50 ----a-w- c:\windows\system32\bridf07a.dat
2009-06-23 14:01 . 2009-06-23 14:00 -------- d-----w- c:\programme\Brother
2009-06-23 14:00 . 2008-08-11 15:59 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-23 14:00 . 2009-06-23 14:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Brother
2009-06-16 14:36 . 2008-08-11 14:04 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2008-08-11 14:04 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2008-08-11 14:04 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2008-08-11 14:04 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-08-11 14:15 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2008-08-11 14:04 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2008-08-11 14:04 1296896 ----a-w- c:\windows\system32\quartz.dll
2008-05-07 14:34 . 2008-08-11 17:17 15523560 ----a-w- c:\programme\U1 Setup.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IconOverlayHandlerAccessible]
@="{3DBF5F01-3287-46EB-82CF-45AA5C241162}"
[HKEY_CLASSES_ROOT\CLSID\{3DBF5F01-3287-46EB-82CF-45AA5C241162}]
2007-08-10 14:27 598016 ----a-w- c:\windows\system32\PGPfsshl.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"MMReminderService"="c:\programme\Mindjet\MindManager 6\MMReminderService.exe" [2005-09-13 28672]
"EPSON_UD_START"="c:\programme\EPSON Projector\EPSON USB Display V1.4\EMP_UD.exe" [2008-05-22 329632]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2008-09-03 335872]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-09-02 106496]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-09-02 593920]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-07-31 16806912]
c:\dokumente und einstellungen\Chef\Startmen\Programme\Autostart\
Verknpfung mit lol.lnk - c:\programme\UltraVNC\winvnc.exe [2009-7-16 1693128]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 217194]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-30 604776]
PGPtray.exe.lnk - c:\windows\Installer\{882025A7-7599-4989-8FCD-7604FB90D6A9}\Icon6560581611.exe [2008-12-13 55296]
SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-17 311296]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli PGPpwflt
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Chef^Startmenü^Programme^Autostart^OneNote 2007 Screen Clipper and Launcher.lnk]
path=c:\dokumente und einstellungen\Chef\Startmenü\Programme\Autostart\OneNote 2007 Screen Clipper and Launcher.lnk
backup=c:\windows\pss\OneNote 2007 Screen Clipper and Launcher.lnkStartup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Chef^Startmenü^Programme^Autostart^OneNote Table Of Contents.onetoc2]
path=c:\dokumente und einstellungen\Chef\Startmenü\Programme\Autostart\OneNote Table Of Contents.onetoc2
backup=c:\windows\pss\OneNote Table Of Contents.onetoc2Startup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"d:\\Easy_Note_Taker\\Easy note taker.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800
R0 pgpfs;PGP File Sharing;c:\windows\system32\drivers\PGPfsfd.sys [10/08/2007 16:21 97792]
R0 PGPwded;PGPwded Storage Filter Service;c:\windows\system32\drivers\PGPwded.sys [10/08/2007 16:21 168960]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [01/05/2009 21:09 108289]
R2 EMP_UDSA;EMP_UDSA;c:\programme\EPSON Projector\EPSON USB Display V1.4\EMP_UDSA.exe [02/02/2009 13:57 94208]
R2 PGPdisk;PGPdisk;c:\windows\system32\drivers\PGPdisk.sys [10/08/2007 16:21 224256]
R2 PGPsdkDriver;PGPsdkDriver;c:\windows\system32\drivers\PGPsdk.sys [10/08/2007 16:21 33792]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [17/09/2008 18:17 10752]
R3 eppvad_simple;EPSON Projector UD Audio Device;c:\windows\system32\drivers\EMP_UDAU.sys [02/02/2009 13:57 17664]
R3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [11/08/2008 17:25 26112]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [02/01/2002 12:51 36864]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [13/08/2008 05:25 625024]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-RocketDock - c:\programme\RocketDock\RocketDock.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: c:\windows\system32\PGPlsp.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-21 22:07
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\PGPpwflt.dll
c:\windows\system32\PGPwd.dll
c:\windows\system32\PGPsdk.dll
c:\windows\system32\pgpsdkm.dll
- - - - - - - > 'explorer.exe'(3200)
c:\windows\system32\PGPhk.dll
c:\windows\system32\PGPfsshl.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\windows\system32\PGPserv.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\programme\Brother\ControlCenter3\BrccMCtl.exe
c:\programme\PGP Corporation\PGP Desktop\PGPtray.exe
c:\programme\Brother\Brmfcmon\BrMfcMon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-21 22:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-21 20:11
ComboFix2.txt 2009-08-21 16:37
Vor Suchlauf: 6 Verzeichnis(se), 64,894,808,064 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 64,758,665,216 Bytes frei
204 --- E O F --- 2009-08-20 20:58
|
|
21.08.2009, 21:15
| #6 |
| | braviax.exe geht nicht weg ;-( ultra vnc und rockket dock habe ich auch mit deinstalliert. alle peripherriegeräte waren angesteckt. danke für deine bbemühungen. mfg sven |
|
21.08.2009, 21:42
| #7 |
| | braviax.exe geht nicht weg ;-( Das CF-Log ist sauber. Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten? 1.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
21.08.2009, 22:03
| #8 |
| | braviax.exe geht nicht weg ;-( anti vir macht keine meldungen. die anderen logs schick ich dir gleiche. sven |
|
21.08.2009, 23:16
| #9 |
| | braviax.exe geht nicht weg ;-( ok... der scan von panda läuft immer noch (grade mal 20%) und er hat schon 11 funde. lass den scan über nacht durchlaufen und schick dir dann morgen die ergebnisse ciao sven |
|
22.08.2009, 09:00
| #10 |
| | braviax.exe geht nicht weg ;-( hier das activescan log: Code:
ATTFilter ;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-08-22 09:57:49
PROTECTIONS: 1
MALWARE: 17
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AntiVir Desktop 9.0.1.32 Yes No
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Chef\Cookies\chef@doubleclick[2].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@doubleclick[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@atdmt[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@tradedoubler[1].txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@tribalfusion[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@ad.yieldmanager[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@adtech[1].txt
00184846 Cookie/Adrevolver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@adrevolver[2].txt
00462538 Bck/Powerspider.R Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP238\A0041808.dll
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0041761.sys
02194639 Bck/Powerspider.R Virus/Trojan No 1 Yes No C:\Programme\Password-Finder\PWFinder.exe
02466985 Adware/UltimateDefender Adware No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0040777.sys
02504376 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP238\A0041807.exe
02504376 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP221\A0038193.exe
02504376 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0040762.exe
02504376 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0040761.exe
02504376 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0039755.exe
02504376 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0039754.exe
02504376 Generic Trojan Virus/Trojan No 0 Yes No C:\WINDOWS\system32\hgdsakhaghjrkjlhkjghhdgljsghsrjlhrVIRUS.disc
02531509 Trj/BedeTres.AL Virus/Trojan No 1 Yes No C:\WINDOWS\system32\dllcache\ntfs.sys
02531509 Trj/BedeTres.AL Virus/Trojan No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ntfs.sys.vir
02531509 Trj/BedeTres.AL Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP241\A0044675.sys
02533054 Generic Trojan Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Temp\BN2C.tmp
02534213 Trj/BedeTres.R Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP233\A0039684.exe
02534213 Trj/BedeTres.R Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP233\A0039685.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038350.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038351.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038364.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038365.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038374.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038375.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038379.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038380.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038383.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038384.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038392.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038300.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038402.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038403.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038406.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038407.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038338.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038411.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038415.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038323.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039454.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039456.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039457.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039469.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039470.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039475.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039476.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP229\A0039495.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP229\A0039496.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP230\A0039513.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP230\A0039514.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP230\A0039529.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP230\A0039530.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP232\A0039682.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038337.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038410.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038299.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038284.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038283.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038279.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038278.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038266.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038314.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038324.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038416.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038313.exe
02536052 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038393.exe
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP241\A0044683.sys
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP247\A0045513.sys
;===================================================================================================================================================================================
SUSPECTS
Sent Location g
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description g
;===================================================================================================================================================================================
;===================================================================================================================================================================================
|
|
22.08.2009, 09:02
| #11 |
| | braviax.exe geht nicht weg ;-( ich habe die fehler aber nicht behoben... oder sollte ich? hab ja die actrivescan seite noch offen. ist bei bedarf noch möglich. jetz lass ich erstmal die prevex suchen. danke sven |
|
22.08.2009, 09:09
| #12 |
| | braviax.exe geht nicht weg ;-( im anhang der screen shot... laut dem log von active scan könnte er doch aber alle viren entfernen, oder? und aktiv sind sie dazu auch nicht... ciao, sven |
|
22.08.2009, 15:12
| #13 |
| | braviax.exe geht nicht weg ;-( Der Screenshot von Prevx ist etwas arg klein und mit meinen alten Augen nicht mehr zu erkennen. Ich vermute allerdings, dass die gleiche Datei gefunden wurde, die auch Panda gefunden hat. 1.) Füttere ComboFix (cofi.exe) mit folgendem Script: Code:
ATTFilter KILLALL::
File::
C:\WINDOWS\system32\hgdsakhaghjrkjlhkjghhdgljsghsrjlhrVIRUS.disc
C:\WINDOWS\system32\dllcache\ntfs.sys
Folder::
C:\Programme\Password-Finder
Nach Neustart kann sie wieder aktiviert werden. 3.) Start => Ausführen => sfc /scannow => OK (Windows-CD bereithalten) 4.) Start => Ausführen => combofix /u => OK 5.) http://www.trojaner-board.de/59299-a...eb-cureit.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
22.08.2009, 20:15
| #14 |
| | braviax.exe geht nicht weg ;-( dr web ist fast fertig... meine fr*sse das hat aber lange gedauert... bis jetzt 2 infizierte dateien in der _desktop.ini (Laufwerk:G:\) log schick ich dir gleich. noch mal zu der analyse an sich. es gibt doch sicherlich methoden wie man aus dem log infizierte dateien erkennt. bei HijackThis ist das ganze ja in sektoren unterteilt. (das tut vom board ist da ja ausreichend für die eigenanalyse.) aber gibt es sowas auch für combofix, malewarebytes oder drweb. oder gibt es eine generelle erkennungs methode. ich interessiere mich sehr dafür und hab hier zu hause bei den großeltern noch so den ein oder anderen infizierten rechner... bin ja noch jung (14 XD) und hab zeit zum lernen. was würdest du mir empfehlen... danke sven |
|
22.08.2009, 20:22
| #15 |
| | braviax.exe geht nicht weg ;-( Du bist genau der richtige Fall für Myrtille. Lesen, lesen, lesen. Hier kannst du ja anfangen: http://www.trojaner-board.de/75714-m...er-werden.html http://www.trojaner-board.de/70547-l...ennotfall.html http://www.trojaner-board.de/422248-post15.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
| Themen zu braviax.exe geht nicht weg ;-( |
| 1.tmp, 8.tmp, anti-malware, antispyware, autostart, center, computer, dateien, disabled.securitycenter, dllcache, einstellungen, google, infected, infiziert, log, malware.trace, microsoft, programme, refog.keylogger, regedit, registrierungsschlüssel, security, software, system, system volume information, taskleiste, temp, trojan.agent, trojan.downloader, trojan.fakealert, trojan.killav, viren, virus, windows\temp |
Hybrid-Darstellung
