TR/Crypt.XPACK.Gen2, TR/Spyeye.H.36 und JAVA/OpenConnect.AI

paulinho · 26.01.2011, 10:43

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:42:42, on 26.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: UltraEdit Toolbar - {4E7BD74F-2B8D-469E-85AA-FD60BB9AAE22} - C:\Programme\ue_toolbar\ue_toolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: UltraEdit Toolbar - {4E7BD74F-2B8D-469E-85AA-FD60BB9AAE22} - C:\Programme\ue_toolbar\ue_toolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=050105 serial=DR12WTR-2098928-syx lang=DE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\Karina\Anwendungsdaten\Dropbox\bin\Dropbox.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

--
End of file - 10672 bytes

kira · 27.01.2011, 09:04

1.
starte HijackThis--> wähle Open the Misc Tools section --> dann Delete a file on reboot... --> wähle die zu löschende Datei (sehe der Inhalt dieser Code-Box), die Frage zum Neustart mit NEIN beantworten, wieder Delete a file on reboot wählen, nächste Datei auswählen usw., bis Du die letzte Datei ausgewählt hast, nun antwortest du auf die Frage zum Neustart mit JA
>> Text kopieren und einfügen (oder "Durchsuchen")::

Code:

ATTFilter

C:\WINDOWS\system32\ssprs.tgz
C:\WINDOWS\system32\ssprs.dll 
C:\WINDOWS\system32\lsprst7.tgz 
C:\WINDOWS\system32\lsprst7.dll

2.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 23 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

`Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
`Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

5.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

** Systemzustand stabil? noch Probleme?

paulinho · 27.01.2011, 20:16

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=81580f350433a74e919ddb5201cb904b
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-01-27 04:35:16
# local_time=2011-01-27 05:35:17 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 105824 105824 0 0
# compatibility_mode=1797 16775125 100 100 454488 71656031 177771 0
# compatibility_mode=8192 67108863 100 0 3853 3853 0 0
# scanned=91228
# found=1
# cleaned=1
# scan_time=9002
C:\Dokumente und Einstellungen\Karina\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25\44b0f759-5b8d1f63	Mehrere Bedrohungen (gelöscht - in Quarantäne kopiert)	00000000000000000000000000000000	C

paulinho · 27.01.2011, 20:20

Java war komplett gelöscht. Cache und tmp geleert. Das System läuft wieder absolut stabil, aber trotzdem verwunderlich, dass der noch da war, oder?
Ist das System jetzt wieder clean? Über ein bisschen feedback würde auch ich mich freuen.

kira · 28.01.2011, 08:25

Zitat:

Zitat von paulinho

Ist das System jetzt wieder clean?

Der Rechner ist insoweit `Stand der Technik` ist virenfrei

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:

Code:

ATTFilter

HijackThis/Trend Micro
filelist.bat
CCleaner

Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

2.
wenn alles gut verlaufen ist und dein System läuft stabil,mache folgendes:
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen (SWH wieder "aktivieren")

3.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

4.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

paulinho · 28.01.2011, 15:10

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 01/28/2011 bei 02:19 PM

Version der Applikation : 4.48.1000

Version der Kern-Datenbank : 6294
Version der Spur-Datenbank : 4106

Scan Art       : kompletter Scann
Totale Scann-Zeit : 01:00:29

Gescannte Speicherelemente  : 516
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 7028
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 23503
Erfasste Datei-Elemente   : 0

Dann doch schon mal ein ganz herzliches Dankeschön. War also wohl eher was kleineres? Gibt es noch irgendwelche Details, die ich wisseb sollte?
Herkunft, Löcher?
Kein Backdoor oder Rootkit gefunden?
Haben die Helfenden auch was davon, wenn man dem Board spendet?

kira · 29.01.2011, 09:00

War also wohl eher was kleineres?
ja...

Kein Backdoor oder Rootkit gefunden?
Zeichen auf Backdoor ähnliches Verhalten ja, aber zum Glück, Du hast noch sozusagen mit einem blauen Auge davon gekommen

Haben die Helfenden auch was davon, wenn man dem Board spendet?
ja..aber nicht in finanzieller Hinsicht, sondern im Rahmen dieses Forums! Damit weiterhin alle kommen können, die Kostenlose und unabhängige Beratung und Hilfe benötigen.
Als Teamarbeiter euch zu helfen, ein sehr abwechslungsreiche Aufgabenspektrum bietet, "Käfer-Sammeln" ist ein schönes Hobby

Ausserdem die bestehende Sammlungsdatenbank für Antivirenhersteller wird ständig erweitert, damit euer Rechner besser geschützt. Da die Virus-Programmierer immer einen Schritt voraus sind, die Entdeckungs- und Entfernungsmöglichkeiten immer noch sehr begrenzt, aber wir geben auch nicht auf

Lesestoff:

Wie erstelle ich ein eingeschränktes Benutzerkonto?
Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
sichere Paswort - Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)
"Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
-> Bei der Installation immer mitlesen, Sponsoren und Partnerprogramme, Toolbars etc möglichst abwählen!
NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
Virenscanner
BSI für Bürger
SETI@home - [Sicherheit] Sicherheitskonzept
Entwicklung schädlicher Websites/viruslist.com

Zitat:

Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen - Die auf dem Speichermedium gesicherten Daten sollten auch mit einbezogen werden!
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -

wünsch Dir alles Gute

paulinho · 02.02.2011, 07:46

Scheint doch noch nicht so wirklich gut zu sein. Ich hab nen neuen Thread aufgemacht, weil ich dachte "neuer Virus-neues Thema".
http://www.trojaner-board.de/95283-e...tml#post615722
War wohl nicht der richtige Weg. Sorry. Über weiter Hilfe freue ich mich trotzdem.

kira · 02.02.2011, 19:02

Wenn irgend etwas mit deinem PC nicht in Ordnung ist, bitte eine möglichst kurz und genaue Problembeschreibung! Hast Du eine unsichere Seite besucht?

ausserdem:
Was ist *Exploit *
Das heißt nicht unbedingt dass dein System infiziert ist, zumindest die Versuch wurde v Avira abgewährt

Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum
- Punkt 1.: Einstellung
- Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits)
- Logs speichern/posten
** Bemerkung:
"Klick auf das Bild, um es zu vergrößern!" - grau hinterlegt, also nicht mehr anklickbar

paulinho · 03.02.2011, 09:03

kein problem mit dem rechner, abher eben mit neuen meldungen bei avira

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 2. Februar 2011  21:06

Es wird nach 2449642 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : xxx
Computername   : NURSE

Versionsinformationen:
BUILD.DAT      : 9.0.0.429     21701 Bytes  06.10.2010 09:59:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 18:23:32
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 10:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 09:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 08:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 18:23:32
VBASE001.VDF   : 7.11.0.0   13342208 Bytes  14.12.2010 08:13:40
VBASE002.VDF   : 7.11.0.1       2048 Bytes  14.12.2010 08:13:40
VBASE003.VDF   : 7.11.0.2       2048 Bytes  14.12.2010 08:13:40
VBASE004.VDF   : 7.11.0.3       2048 Bytes  14.12.2010 08:13:40
VBASE005.VDF   : 7.11.0.4       2048 Bytes  14.12.2010 08:13:40
VBASE006.VDF   : 7.11.0.5       2048 Bytes  14.12.2010 08:13:40
VBASE007.VDF   : 7.11.0.6       2048 Bytes  14.12.2010 08:13:40
VBASE008.VDF   : 7.11.0.7       2048 Bytes  14.12.2010 08:13:42
VBASE009.VDF   : 7.11.0.8       2048 Bytes  14.12.2010 08:13:42
VBASE010.VDF   : 7.11.0.9       2048 Bytes  14.12.2010 08:13:42
VBASE011.VDF   : 7.11.0.10      2048 Bytes  14.12.2010 08:13:43
VBASE012.VDF   : 7.11.0.11      2048 Bytes  14.12.2010 08:13:43
VBASE013.VDF   : 7.11.0.52    128000 Bytes  16.12.2010 13:08:14
VBASE014.VDF   : 7.11.0.91    226816 Bytes  20.12.2010 13:08:14
VBASE015.VDF   : 7.11.0.122    136192 Bytes  21.12.2010 13:07:57
VBASE016.VDF   : 7.11.0.156    122880 Bytes  24.12.2010 13:08:04
VBASE017.VDF   : 7.11.0.185    146944 Bytes  27.12.2010 09:34:14
VBASE018.VDF   : 7.11.0.228    132608 Bytes  30.12.2010 12:01:22
VBASE019.VDF   : 7.11.1.5     148480 Bytes  03.01.2011 08:13:02
VBASE020.VDF   : 7.11.1.37    156672 Bytes  07.01.2011 08:12:20
VBASE021.VDF   : 7.11.1.65    140800 Bytes  10.01.2011 10:04:32
VBASE022.VDF   : 7.11.1.87    225280 Bytes  11.01.2011 10:04:37
VBASE023.VDF   : 7.11.1.124    125440 Bytes  14.01.2011 10:04:55
VBASE024.VDF   : 7.11.1.155    132096 Bytes  17.01.2011 08:33:42
VBASE025.VDF   : 7.11.1.189    451072 Bytes  20.01.2011 08:33:56
VBASE026.VDF   : 7.11.1.230    138752 Bytes  24.01.2011 11:41:40
VBASE027.VDF   : 7.11.2.12    164352 Bytes  27.01.2011 12:42:11
VBASE028.VDF   : 7.11.2.43    178176 Bytes  01.02.2011 13:47:41
VBASE029.VDF   : 7.11.2.44      2048 Bytes  01.02.2011 13:47:41
VBASE030.VDF   : 7.11.2.45      2048 Bytes  01.02.2011 13:47:41
VBASE031.VDF   : 7.11.2.59    105472 Bytes  02.02.2011 19:55:00
Engineversion  : 8.2.4.158
AEVDF.DLL      : 8.1.2.1      106868 Bytes  30.07.2010 14:29:03
AESCRIPT.DLL   : 8.1.3.53    1282427 Bytes  31.01.2011 13:50:08
AESCN.DLL      : 8.1.7.2      127349 Bytes  23.11.2010 07:53:32
AESBX.DLL      : 8.1.3.2      254324 Bytes  23.11.2010 07:53:35
AERDL.DLL      : 8.1.9.2      635252 Bytes  22.09.2010 11:11:03
AEPACK.DLL     : 8.2.4.9      512374 Bytes  31.01.2011 13:49:57
AEOFFICE.DLL   : 8.1.1.16     205179 Bytes  31.01.2011 13:49:51
AEHEUR.DLL     : 8.1.2.70    3191159 Bytes  31.01.2011 13:49:49
AEHELP.DLL     : 8.1.16.0     246136 Bytes  03.12.2010 19:36:11
AEGEN.DLL      : 8.1.5.2      397683 Bytes  21.01.2011 08:34:00
AEEMU.DLL      : 8.1.3.0      393589 Bytes  23.11.2010 07:53:24
AECORE.DLL     : 8.1.19.2     196983 Bytes  21.01.2011 08:33:58
AEBB.DLL       : 8.1.1.0       53618 Bytes  24.04.2010 11:55:14
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 06:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  08.09.2009 17:03:51
AVREP.DLL      : 8.0.0.7      159784 Bytes  18.02.2010 16:23:31
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 13:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  27.04.2009 11:18:38
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 08:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 13:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 06:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 13:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  11.06.2009 16:19:34
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 18:23:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: ignorieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Mittwoch, 2. Februar 2011  21:06

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '75460' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISUSPM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hcontrol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRSVC01A.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Karina\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\4b5d6fcf-6cb9ee7b
  [0] Archivtyp: ZIP
    --> bpac/purok.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
    [WARNUNG]   Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Karina\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P9014D81\atxsxqjmizjohoeuisct[1].exe
    [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Yahos.pb
    [WARNUNG]   Die Datei wurde ignoriert.
Beginne mit der Suche in 'E:\' <DATEN>
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Mittwoch, 2. Februar 2011  22:13
Benötigte Zeit:  1:07:31 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   7388 Verzeichnisse wurden überprüft
 297414 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 297410 Dateien ohne Befall
   6936 Archive wurden durchsucht
      4 Warnungen
      2 Hinweise
  75460 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

paulinho · 03.02.2011, 09:07

Gibts irgendwo tips zur virenfreien Datensicherung? Es soll sowieso ein neuer Rechner her, dann würde ich den hier halt doch neu formatieren, bevor er seiner neuen Bestimmung als kleiner Arbeiter an meinem Etikettendrucker überantwortet wird.
Rootkit scan kommt.

paulinho · 03.02.2011, 12:48

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 3. Februar 2011  09:00

Es wird nach 2449642 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Karina
Computername   : NURSE

Versionsinformationen:
BUILD.DAT      : 9.0.0.429     21701 Bytes  06.10.2010 09:59:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 18:23:32
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 10:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 09:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 08:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 18:23:32
VBASE001.VDF   : 7.11.0.0   13342208 Bytes  14.12.2010 08:13:40
VBASE002.VDF   : 7.11.0.1       2048 Bytes  14.12.2010 08:13:40
VBASE003.VDF   : 7.11.0.2       2048 Bytes  14.12.2010 08:13:40
VBASE004.VDF   : 7.11.0.3       2048 Bytes  14.12.2010 08:13:40
VBASE005.VDF   : 7.11.0.4       2048 Bytes  14.12.2010 08:13:40
VBASE006.VDF   : 7.11.0.5       2048 Bytes  14.12.2010 08:13:40
VBASE007.VDF   : 7.11.0.6       2048 Bytes  14.12.2010 08:13:40
VBASE008.VDF   : 7.11.0.7       2048 Bytes  14.12.2010 08:13:42
VBASE009.VDF   : 7.11.0.8       2048 Bytes  14.12.2010 08:13:42
VBASE010.VDF   : 7.11.0.9       2048 Bytes  14.12.2010 08:13:42
VBASE011.VDF   : 7.11.0.10      2048 Bytes  14.12.2010 08:13:43
VBASE012.VDF   : 7.11.0.11      2048 Bytes  14.12.2010 08:13:43
VBASE013.VDF   : 7.11.0.52    128000 Bytes  16.12.2010 13:08:14
VBASE014.VDF   : 7.11.0.91    226816 Bytes  20.12.2010 13:08:14
VBASE015.VDF   : 7.11.0.122    136192 Bytes  21.12.2010 13:07:57
VBASE016.VDF   : 7.11.0.156    122880 Bytes  24.12.2010 13:08:04
VBASE017.VDF   : 7.11.0.185    146944 Bytes  27.12.2010 09:34:14
VBASE018.VDF   : 7.11.0.228    132608 Bytes  30.12.2010 12:01:22
VBASE019.VDF   : 7.11.1.5     148480 Bytes  03.01.2011 08:13:02
VBASE020.VDF   : 7.11.1.37    156672 Bytes  07.01.2011 08:12:20
VBASE021.VDF   : 7.11.1.65    140800 Bytes  10.01.2011 10:04:32
VBASE022.VDF   : 7.11.1.87    225280 Bytes  11.01.2011 10:04:37
VBASE023.VDF   : 7.11.1.124    125440 Bytes  14.01.2011 10:04:55
VBASE024.VDF   : 7.11.1.155    132096 Bytes  17.01.2011 08:33:42
VBASE025.VDF   : 7.11.1.189    451072 Bytes  20.01.2011 08:33:56
VBASE026.VDF   : 7.11.1.230    138752 Bytes  24.01.2011 11:41:40
VBASE027.VDF   : 7.11.2.12    164352 Bytes  27.01.2011 12:42:11
VBASE028.VDF   : 7.11.2.43    178176 Bytes  01.02.2011 13:47:41
VBASE029.VDF   : 7.11.2.44      2048 Bytes  01.02.2011 13:47:41
VBASE030.VDF   : 7.11.2.45      2048 Bytes  01.02.2011 13:47:41
VBASE031.VDF   : 7.11.2.59    105472 Bytes  02.02.2011 19:55:00
Engineversion  : 8.2.4.158
AEVDF.DLL      : 8.1.2.1      106868 Bytes  30.07.2010 14:29:03
AESCRIPT.DLL   : 8.1.3.53    1282427 Bytes  31.01.2011 13:50:08
AESCN.DLL      : 8.1.7.2      127349 Bytes  23.11.2010 07:53:32
AESBX.DLL      : 8.1.3.2      254324 Bytes  23.11.2010 07:53:35
AERDL.DLL      : 8.1.9.2      635252 Bytes  22.09.2010 11:11:03
AEPACK.DLL     : 8.2.4.9      512374 Bytes  31.01.2011 13:49:57
AEOFFICE.DLL   : 8.1.1.16     205179 Bytes  31.01.2011 13:49:51
AEHEUR.DLL     : 8.1.2.70    3191159 Bytes  31.01.2011 13:49:49
AEHELP.DLL     : 8.1.16.0     246136 Bytes  03.12.2010 19:36:11
AEGEN.DLL      : 8.1.5.2      397683 Bytes  21.01.2011 08:34:00
AEEMU.DLL      : 8.1.3.0      393589 Bytes  23.11.2010 07:53:24
AECORE.DLL     : 8.1.19.2     196983 Bytes  21.01.2011 08:33:58
AEBB.DLL       : 8.1.1.0       53618 Bytes  24.04.2010 11:55:14
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 06:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  08.09.2009 17:03:51
AVREP.DLL      : 8.0.0.7      159784 Bytes  18.02.2010 16:23:31
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 13:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  27.04.2009 11:18:38
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 08:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 13:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 06:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 13:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  11.06.2009 16:19:34
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 18:23:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: hoch
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Erweiterte Sucheinstellungen..........: 0x00300922

Beginn des Suchlaufs: Donnerstag, 3. Februar 2011  09:00

Der Suchlauf nach versteckten Objekten wird begonnen.

  syscheckrt.exe
    [INFO]      Die Datei ist nicht sichtbar.
c:\syscheckrt\config.bin
    [INFO]      Die Datei ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4db89680.qua erstellt ( QUARANTÄNE )
c:\syscheckrt\syscheckrt.exe
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4dbd968a.qua erstellt ( QUARANTÄNE )
c:\syscheckrt
    [INFO]      Das Verzeichnis ist nicht sichtbar.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 495669e3.qua erstellt ( QUARANTÄNE )
HKEY_USERS\S-1-5-21-1603962876-1574374749-3040034113-1005\Software\Microsoft\Windows\CurrentVersion\Run\syscheckrt.exe
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{25A785AE-3892-CA84-EA9A006458EDF41F}\{C494D2DB-9D8B-1943-CDB4B7EB0238E0C7}\{76739E62-5E8B-35F4-1BE90E5C477012C5}\am6fpn5ewurmvlo6fvtiskwf1f1
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B2D6F484-260A-7B5D-9DECE03114A71318}\{16279713-416B-AABF-512733F99CDDA7F7}\{FB965560-4DCA-8EF0-2DC335C1EACB0D08}\am6fpn5ewurmvlo6fvtiskwf1f1
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '395329' Objekte überprüft, '6' versteckte Objekte wurden gefunden.


Ende des Suchlaufs: Donnerstag, 3. Februar 2011  12:48
Benötigte Zeit:  3:47:48 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
      3 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
      3 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      3 Hinweise
 395329 Objekte wurden beim Rootkitscan durchsucht
      6 Versteckte Objekte wurden gefunden

kira · 04.02.2011, 15:48

Zitat:

Zitat von paulinho

Gibts irgendwo tips zur virenfreien Datensicherung? Es soll sowieso ein neuer Rechner her, dann würde ich den hier halt doch neu formatieren

Tipps kann ich Dir geben:

Datensicherung:
Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
** Empfehle ich Dir NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Bevor du mit deinem PC direkt ins Netz gehst:
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern ( am besten von einem anderen, nicht-infizierten Rechner aus! )
- Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

auch eventuell vorher eine Live-CD laufen lassen:

Knoppicillin - bootfähige Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall-->Bebilderte Anleitung
Knoppix--> Datei:Knoppix-logo.svg
Ubuntu--> Download/ubuntu.com
kannst Du auch auf einem USB Stick `installieren`-->* Installation* FromUSBStick--> Anleitung 1.-->Anleitung 2. - (Aktuell halten, das Update umgehend einspielen, dies geht etwa über die eingebaute Update-Funktion)
Ubuntu-CD Problembehebung
Avira AntiVir Rescue System
Viren jagen mit Knoppix
WinPE/BartPE
Dr.Web® LiveCD
Kaspersky

gruß
Cf

paulinho · 04.02.2011, 18:12

Danke. Sind die nächste Woche im Urlaub. Werd mich danach weiter bemühen.

TR/Crypt.XPACK.Gen2, TR/Spyeye.H.36 und JAVA/OpenConnect.AI

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen2, TR/Spyeye.H.36 und JAVA/OpenConnect.AI