/Winlogon/Taskman Trojaner ; cbssreg u.a.

Swordfish33 · 06.09.2010, 09:18

Code:

ATTFilter

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 5ddc20efcc4d1dab37c348c7db7289cf
\\.\D: -> \\.\PhysicalDrive0
\\.\M: -> \\.\PhysicalDrive1
MD5: 4b73686c4943d2450ca8a6222af5e06c

     Size  Device Name          MBR Status
 --------------------------------------------
   232 GB  \\.\PhysicalDrive0   Unknown boot code
   232 GB  \\.\PhysicalDrive1   Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Press any key to quit...

Hier endlich die genaue Meldung.

LG Swordfish

cosinus · 06.09.2010, 09:50

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Swordfish33 · 06.09.2010, 10:02

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000103d

Kernel Drivers (total 125):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x806EF000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF75A7000 ACPI.sys
  0xF7989000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
  0xF7596000 pci.sys
  0xF75F7000 isapnp.sys
  0xF7A4F000 pciide.sys
  0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
  0xF7607000 MountMgr.sys
  0xF74D7000 ftdisk.sys
  0xF770F000 PartMgr.sys
  0xF798B000 siside.sys
  0xF7617000 VolSnap.sys
  0xF74BF000 atapi.sys
  0xF7627000 disk.sys
  0xF7637000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
  0xF749F000 fltmgr.sys
  0xF748D000 sr.sys
  0xF7647000 PxHelp20.sys
  0xF7476000 KSecDD.sys
  0xF7B52000 Ntfs.sys
  0xF7449000 NDIS.sys
  0xF789B000 sisperf.sys
  0xF7657000 sisidex.sys
  0xF7717000 SISAGPX.sys
  0xF742F000 Mup.sys
  0xF7667000 gagp30kx.sys
  0xB9E56000 \SystemRoot\System32\DRIVERS\amdk7.sys
  0xB97A5000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
  0xB974B000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
  0xB9E46000 \SystemRoot\System32\DRIVERS\i8042prt.sys
  0xF780F000 \SystemRoot\System32\DRIVERS\kbdclass.sys
  0xF7817000 \SystemRoot\System32\DRIVERS\fdc.sys
  0xB9E36000 \SystemRoot\System32\DRIVERS\serial.sys
  0xF793F000 \SystemRoot\System32\DRIVERS\serenum.sys
  0xB9737000 \SystemRoot\System32\DRIVERS\parport.sys
  0xB9E26000 \SystemRoot\System32\DRIVERS\cdrom.sys
  0xB9E16000 \SystemRoot\System32\DRIVERS\redbook.sys
  0xB9714000 \SystemRoot\System32\DRIVERS\ks.sys
  0xB9E06000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF781F000 \SystemRoot\System32\DRIVERS\usbohci.sys
  0xB96F0000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
  0xF772F000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF7737000 \SystemRoot\System32\DRIVERS\sisnic.sys
  0xB9500000 \SystemRoot\system32\drivers\cmudaxp.sys
  0xB94DC000 \SystemRoot\system32\drivers\portcls.sys
  0xB9DF6000 \SystemRoot\system32\drivers\drmk.sys
  0xB9463000 \SystemRoot\system32\DRIVERS\RT61.sys
  0xB9DE6000 \SystemRoot\System32\DRIVERS\avmwan.sys
  0xF7A94000 \SystemRoot\System32\DRIVERS\audstub.sys
  0xF7697000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
  0xF794B000 \SystemRoot\System32\DRIVERS\ndistapi.sys
  0xB944C000 \SystemRoot\System32\DRIVERS\ndiswan.sys
  0xF76A7000 \SystemRoot\System32\DRIVERS\raspppoe.sys
  0xF76B7000 \SystemRoot\System32\DRIVERS\raspptp.sys
  0xF773F000 \SystemRoot\System32\DRIVERS\TDI.SYS
  0xB943B000 \SystemRoot\System32\DRIVERS\psched.sys
  0xF76C7000 \SystemRoot\System32\DRIVERS\msgpc.sys
  0xF7747000 \SystemRoot\System32\DRIVERS\ptilink.sys
  0xF774F000 \SystemRoot\System32\DRIVERS\raspti.sys
  0xF76E7000 \SystemRoot\System32\DRIVERS\termdd.sys
  0xF7757000 \SystemRoot\System32\DRIVERS\mouclass.sys
  0xF79B7000 \SystemRoot\System32\DRIVERS\swenum.sys
  0xB86CD000 \SystemRoot\System32\DRIVERS\update.sys
  0xBA7D0000 \SystemRoot\System32\DRIVERS\mssmbios.sys
  0xF76F7000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF7767000 \SystemRoot\System32\DRIVERS\flpydisk.sys
  0xF7576000 \SystemRoot\System32\DRIVERS\usbhub.sys
  0xF79B9000 \SystemRoot\System32\DRIVERS\USBD.SYS
  0xF79BD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xB9408000 \SystemRoot\System32\Drivers\Null.SYS
  0xF79BF000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7777000 \SystemRoot\System32\drivers\vga.sys
  0xF79C1000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79C3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF777F000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7787000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA704000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0xB7522000 \SystemRoot\System32\DRIVERS\ipsec.sys
  0xB74C9000 \SystemRoot\System32\DRIVERS\tcpip.sys
  0xB74A1000 \SystemRoot\System32\DRIVERS\netbt.sys
  0xB747F000 \SystemRoot\System32\drivers\afd.sys
  0xF7526000 \SystemRoot\System32\DRIVERS\netbios.sys
  0xF778F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xB73B4000 \SystemRoot\System32\DRIVERS\rdbss.sys
  0xB7344000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
  0xF7506000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB731E000 \SystemRoot\System32\DRIVERS\ipnat.sys
  0xF74F6000 \SystemRoot\System32\DRIVERS\wanarp.sys
  0xB72FC000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF79D9000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF779F000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
  0xB72C3000 \SystemRoot\System32\Drivers\Udfs.SYS
  0xB941B000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xBA758000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xF77B7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xBA7C4000 \SystemRoot\System32\DRIVERS\mouhid.sys
  0xB72AB000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF79FD000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB75B1000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF77DF000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7AAF000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xB6FF4000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB6EC7000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xB6E83000 \SystemRoot\System32\DRIVERS\ndisuio.sys
  0xB6C6A000 \SystemRoot\System32\DRIVERS\mrxdav.sys
  0xF7997000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB755D000 \??\C:\WINDOWS\system32\ANIO.SYS
  0xF799B000 \SystemRoot\System32\Drivers\Asapi.SYS
  0xB6BD7000 \SystemRoot\system32\DRIVERS\atksgt.sys
  0xB6AB8000 \SystemRoot\System32\DRIVERS\srv.sys
  0xF776F000 \SystemRoot\system32\DRIVERS\lirsgt.sys
  0xBA748000 \SystemRoot\System32\DRIVERS\secdrv.sys
  0xB6693000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB69C8000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB6398000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB9E76000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB5353000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 46):
       0 System Idle Process
       4 System
     460 C:\WINDOWS\system32\smss.exe
     524 csrss.exe
     548 C:\WINDOWS\system32\winlogon.exe
     592 C:\WINDOWS\system32\services.exe
     604 C:\WINDOWS\system32\lsass.exe
     764 C:\WINDOWS\system32\svchost.exe
     860 svchost.exe
     900 C:\WINDOWS\system32\svchost.exe
    1000 svchost.exe
    1060 svchost.exe
    1192 C:\WINDOWS\system32\spoolsv.exe
    1240 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1284 svchost.exe
    1356 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1408 C:\Programme\Java\jre6\bin\jqs.exe
    1448 C:\WINDOWS\system32\LckFldService.exe
    1484 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    1496 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    1512 C:\WINDOWS\system32\nvsvc32.exe
    1556 C:\WINDOWS\system32\HPZipm12.exe
    1664 C:\WINDOWS\system32\svchost.exe
    1724 wdfmgr.exe
    1816 C:\Programme\USB Drive Manager\USBDLM\USBDLM.exe
    1048 alg.exe
    1712 C:\WINDOWS\explorer.exe
    2064 C:\WINDOWS\htpatch.exe
    2100 C:\WINDOWS\system32\rundll32.exe
    2116 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2124 C:\WINDOWS\system\HsMgr.exe
    2280 C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    2288 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    2328 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    2352 C:\WINDOWS\system32\ctfmon.exe
    2504 D:\OpenOffice.org 3\program\soffice.exe
    2528 D:\OpenOffice.org 3\program\soffice.bin
    2008 C:\Programme\DivX\DivX Plus Web Player\DDMService.exe
    3712 C:\Programme\DivX\DivX Update\DivXUpdate.exe
    2224 C:\WINDOWS\system32\taskmgr.exe
    1768 C:\Programme\Mozilla Firefox\firefox.exe
    2320 C:\Programme\Mozilla Firefox\plugin-container.exe
    1400 C:\Programme\Pidgin\pidgin.exe
    2300 C:\Dokumente und Einstellungen\***\Desktop\Malwarescan\remover.exe
    2872 D:\Thunderbird\thunderbird.exe
    3900 C:\Dokumente und Einstellungen\***\Desktop\Malwarescan\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000009`c3dcd400  (NTFS)
\\.\M: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (FAT32)

PhysicalDrive0 Model Number: SAMSUNGSP2514N, Rev: VF100-33
PhysicalDrive1 Model Number: WD2500BEV External, Rev: 1.75

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
    232 GB  \\.\PhysicalDrive1   RE: Western Digital MBR code detected
            SHA1: CCCF1B32EE08ECFB66B30883CFF6110F69219FEA


Done!

Bitteschön.

cosinus · 06.09.2010, 11:18

Code:

ATTFilter

     Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
    232 GB  \\.\PhysicalDrive1   RE: Western Digital MBR code detected
            SHA1: CCCF1B32EE08ECFB66B30883CFF6110F69219FEA

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Swordfish33 · 06.09.2010, 15:16

So, fertig:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4554

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.09.2010 13:20:22
mbam-log-2010-09-06 (13-20-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|M:\|)
Durchsuchte Objekte: 273410
Laufzeit: 47 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/06/2010 at 04:04 PM

Application Version : 4.42.1000

Core Rules Database Version : 5459
Trace Rules Database Version: 3271

Scan type       : Complete Scan
Total Scan Time : 02:32:23

Memory items scanned      : 535
Memory threats detected   : 0
Registry items scanned    : 7012
Registry threats detected : 0
File items scanned        : 149802
File threats detected     : 23

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\***@atwola[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@traffictrack[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.adc-serv[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ads.quartermedia[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[5].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@doubleclick[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@www.windowsmedia[3].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@adfarm1.adition[3].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@at.atwola[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.adnet[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@tacoda[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@2o7[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@cdn.at.atwola[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@apmebf[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@webmasterplan[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.zanox[3].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@xiti[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@content.yieldmanager[4].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.ad-srv[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@advertising[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@tradedoubler[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@zanox[1].txt

Die Scanner haben augenscheinlich nichts Großes gefunden. Soll ich bei SUPERAntiSpyware den Scan im abgesicherten Modus ebenfalls durchführen? Die Anleitung ist dahingehend nicht eindeutig (erst heißt es den 4. Schritt nur auf Anweisung und zwischendurch dann wieder bei Bedarf alle anderen Reparaturen möglich).

MfG Swordfish

cosinus · 06.09.2010, 15:27

Sieht ok aus, da wurden nur Cookies und kleinere Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Swordfish33 · 06.09.2010, 15:35

Klingt erstmal gut.

)

Naja zwischenzeitlich (vor meinen heutigen Scans) gab es noch einmal nen Fund auf der externen Platte, die auch gerade dran ist und mitgescannt wurde.

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 3. September 2010  15:58

Es wird nach 2775602 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:00:52
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 13:00:52
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 21:12:59
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 21:14:30
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 06:57:17
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 12:25:07
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 22:15:50
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 10:19:32
VBASE008.VDF   : 7.10.9.166      2048 Bytes  23.07.2010 10:19:32
VBASE009.VDF   : 7.10.9.167      2048 Bytes  23.07.2010 10:19:32
VBASE010.VDF   : 7.10.9.168      2048 Bytes  23.07.2010 10:19:32
VBASE011.VDF   : 7.10.9.169      2048 Bytes  23.07.2010 10:19:32
VBASE012.VDF   : 7.10.9.170      2048 Bytes  23.07.2010 10:19:32
VBASE013.VDF   : 7.10.9.198    157696 Bytes  26.07.2010 10:19:32
VBASE014.VDF   : 7.10.9.255    997888 Bytes  29.07.2010 10:19:35
VBASE015.VDF   : 7.10.10.28    139264 Bytes  02.08.2010 10:19:35
VBASE016.VDF   : 7.10.10.52    127488 Bytes  03.08.2010 10:19:36
VBASE017.VDF   : 7.10.10.84    137728 Bytes  06.08.2010 09:34:50
VBASE018.VDF   : 7.10.10.107   176640 Bytes  09.08.2010 20:17:13
VBASE019.VDF   : 7.10.10.130   132608 Bytes  10.08.2010 20:17:14
VBASE020.VDF   : 7.10.10.158   131072 Bytes  12.08.2010 20:17:14
VBASE021.VDF   : 7.10.10.190   136704 Bytes  16.08.2010 20:17:15
VBASE022.VDF   : 7.10.10.217   118272 Bytes  19.08.2010 20:17:15
VBASE023.VDF   : 7.10.10.246   130048 Bytes  23.08.2010 07:07:13
VBASE024.VDF   : 7.10.11.11    144896 Bytes  25.08.2010 08:58:50
VBASE025.VDF   : 7.10.11.33    135168 Bytes  27.08.2010 08:58:51
VBASE026.VDF   : 7.10.11.52    148992 Bytes  31.08.2010 08:58:51
VBASE027.VDF   : 7.10.11.75    124928 Bytes  03.09.2010 11:47:31
VBASE028.VDF   : 7.10.11.76      2048 Bytes  03.09.2010 11:47:31
VBASE029.VDF   : 7.10.11.77      2048 Bytes  03.09.2010 11:47:31
VBASE030.VDF   : 7.10.11.78      2048 Bytes  03.09.2010 11:47:31
VBASE031.VDF   : 7.10.11.81     33280 Bytes  03.09.2010 11:47:31
Engineversion  : 8.2.4.50  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  04.08.2010 10:19:44
AESCRIPT.DLL   : 8.1.3.44     1364346 Bytes  01.09.2010 08:58:57
AESCN.DLL      : 8.1.6.1       127347 Bytes  16.05.2010 12:25:25
AESBX.DLL      : 8.1.3.1       254324 Bytes  16.05.2010 12:25:27
AERDL.DLL      : 8.1.8.2       614772 Bytes  04.08.2010 10:19:43
AEPACK.DLL     : 8.2.3.5       471412 Bytes  07.08.2010 10:11:25
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  04.08.2010 10:19:42
AEHEUR.DLL     : 8.1.2.21     2883958 Bytes  03.09.2010 11:47:35
AEHELP.DLL     : 8.1.13.3      242038 Bytes  01.09.2010 08:58:53
AEGEN.DLL      : 8.1.3.20      397684 Bytes  01.09.2010 08:58:52
AEEMU.DLL      : 8.1.2.0       393588 Bytes  16.05.2010 12:25:16
AECORE.DLL     : 8.1.16.2      192887 Bytes  04.08.2010 10:19:37
AEBB.DLL       : 8.1.1.0        53618 Bytes  16.05.2010 12:25:15
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL     : 10.0.0.14     227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, M:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,

Beginn des Suchlaufs: Freitag, 3. September 2010  15:58

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'My MP3 PRO 30.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZCSLDR2.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'HsMgr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'htpatch.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBDLM.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LckFldService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'M:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '394' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <***>
Beginne mit der Suche in 'M:\' <My Passport>
M:\MARAJAH\karajana.exe
    [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Palevo.abvj

Beginne mit der Desinfektion:
M:\MARAJAH\karajana.exe
    [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Palevo.abvj
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fd6b8ae.qua' verschoben!


Ende des Suchlaufs: Freitag, 3. September 2010  18:01
Benötigte Zeit:  2:02:26 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  10420 Verzeichnisse wurden überprüft
 561738 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 561737 Dateien ohne Befall
   3208 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 425107 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden

cosinus · 06.09.2010, 17:37

Zitat:

M:\MARAJAH\karajana.exe

Was ist das für ein Verzeichnis, ist die Datei bekannt?

Swordfish33 · 07.09.2010, 14:57

Wie gesagt, das ist die externe Platte. Das Verzeichnis ist mir unbekannt. Lediglich die Datei kommt mir aus früheren Virenscans als Fund bekannt vor.

Übrigens ist der Taskman wieder im Autostart und versucht sich aus dem Papierkorb wiederherzustellen... Ich dachte den hätten wir schon erwischt...

06.09.2010, 15:27	#21
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	/Winlogon/Taskman Trojaner ; cbssreg u.a. Sieht ok aus, da wurden nur Cookies und kleinere Überreste gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? __________________ --> /Winlogon/Taskman Trojaner ; cbssreg u.a.

/Winlogon/Taskman Trojaner ; cbssreg u.a.

Plagegeister aller Art und deren Bekämpfung: /Winlogon/Taskman Trojaner ; cbssreg u.a.