|
BOO/Whistler.A Hi TB-Team, ich habe letztens den USB Stick meiner Freundin in meinen PC gesteckt und gleich eine Viruswarung bekommen. Die befallenen Daten auf dem Stick konnte ich mit AVIRA gleich entfernen, aber seit dem bekomme ich beim Start des PCs die Meldung "Im Masterbootsektor von Laufwerk E: wurde ein Virus oder unerwünschtes Programm BOO/Whistler.A gefunden". Die anderen Themen zu dieser Meldung helfen mir nicht wirklich weiter, weil die ihre Laufwerke nicht mehr sehen können, daher eröffne ich ein neues Thema. Falls ich eins übersehen habe, welches mir als Vorlage dienen kann, bitte ich um Entschuldigung und um den Link. Ich habe bereits einen MBAM QuickSearch und Vollständige Suche gemacht. Die gefundenen Probleme habe ich entfernt, bekomme aber immernoch die Meldung. Noch ein Grund für einen individuellen Thread ist die Tatsache, dass der Virus den Masterbootsektor befallen hat und ich mit Programmen arbeiten muss die Supervising benötigen. Ich plane in kürze auf Win7 umzusteigen, will aber bis dahin nicht befallen bleiben und sicherstellen, dass der Fehler hinterher nicht immernoch auftritt. Vorab schonmal ein Danke und ich hoffe ihr könnt mir helfen. |
Zitat:
|
Hier der Bericht des USB Sticks Avira Free Antivirus Erstellungsdatum der Reportdatei: Donnerstag, 10. November 2011 21:10 Es wird nach 3505271 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : Peki-C001EB845A Versionsinformationen: BUILD.DAT : 12.0.0.861 41826 Bytes 19.10.2011 18:18:00 AVSCAN.EXE : 12.1.0.18 490448 Bytes 25.10.2011 19:06:56 AVSCAN.DLL : 12.1.0.17 65744 Bytes 11.10.2011 12:59:58 LUKE.DLL : 12.1.0.17 68304 Bytes 11.10.2011 12:59:47 AVSCPLR.DLL : 12.1.0.19 99536 Bytes 11.10.2011 12:59:38 AVREG.DLL : 12.1.0.22 226512 Bytes 25.10.2011 19:07:03 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:08:51 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:00:55 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:18:22 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:12:53 VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 07:26:09 VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 12:59:54 VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 12:59:54 VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 12:59:54 VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 12:59:54 VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 12:59:54 VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 12:59:54 VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:59:54 VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:59:54 VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 13:35:57 VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 16:57:46 VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 16:57:47 VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 16:57:47 VBASE019.VDF : 7.11.16.112 162816 Bytes 24.10.2011 17:38:00 VBASE020.VDF : 7.11.16.150 167424 Bytes 26.10.2011 19:04:46 VBASE021.VDF : 7.11.16.187 171520 Bytes 28.10.2011 19:04:51 VBASE022.VDF : 7.11.16.209 190976 Bytes 31.10.2011 17:33:05 VBASE023.VDF : 7.11.16.243 158208 Bytes 02.11.2011 17:33:07 VBASE024.VDF : 7.11.17.21 194560 Bytes 06.11.2011 07:08:50 VBASE025.VDF : 7.11.17.101 202752 Bytes 09.11.2011 13:48:54 VBASE026.VDF : 7.11.17.102 2048 Bytes 09.11.2011 13:48:55 VBASE027.VDF : 7.11.17.103 2048 Bytes 09.11.2011 13:48:55 VBASE028.VDF : 7.11.17.104 2048 Bytes 09.11.2011 13:48:55 VBASE029.VDF : 7.11.17.105 2048 Bytes 09.11.2011 13:48:55 VBASE030.VDF : 7.11.17.106 2048 Bytes 09.11.2011 13:48:55 VBASE031.VDF : 7.11.17.121 72192 Bytes 10.11.2011 13:48:55 Engineversion : 8.2.6.108 AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 19:06:45 AESCRIPT.DLL : 8.1.3.84 467324 Bytes 27.10.2011 19:04:55 AESCN.DLL : 8.1.7.2 127349 Bytes 01.09.2011 21:46:02 AESBX.DLL : 8.2.1.34 323957 Bytes 01.09.2011 21:46:02 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.13.3 684407 Bytes 25.10.2011 19:06:39 AEOFFICE.DLL : 8.1.2.19 201084 Bytes 03.11.2011 22:36:16 AEHEUR.DLL : 8.1.2.188 3801464 Bytes 03.11.2011 22:36:16 AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 19:05:14 AEGEN.DLL : 8.1.5.13 405877 Bytes 08.11.2011 07:08:54 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.24.0 196983 Bytes 25.10.2011 19:05:09 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41 AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38 AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38 AVARKT.DLL : 12.1.0.17 223184 Bytes 11.10.2011 12:59:36 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37 SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51 AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39 NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00 RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4ebc0db8\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Abweichende Gefahrenkategorien........: +JOKE,+SPR, Beginn des Suchlaufs: Donnerstag, 10. November 2011 21:10 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FOXIT READER.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'httpd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LXSUPMON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'httpd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'J:\1thes92p.exe' J:\1thes92p.exe [FUND] Ist das Trojanische Pferd TR/PSW.OnlineGames.KDHG.1 Beginne mit der Suche in 'J:\bud3mkqr.exe' J:\bud3mkqr.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen Beginne mit der Suche in 'J:\et3ypes.exe' J:\et3ypes.exe [FUND] Ist das Trojanische Pferd TR/Agent.bq.18 Beginne mit der Suche in 'J:\i00dvoym.exe' J:\i00dvoym.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen Beginne mit der Suche in 'J:\mi9al8rs.exe' J:\mi9al8rs.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen Beginne mit der Desinfektion: J:\mi9al8rs.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d8b94e1.qua' verschoben! J:\i00dvoym.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5505bb8d.qua' verschoben! J:\et3ypes.exe [FUND] Ist das Trojanische Pferd TR/Agent.bq.18 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0759e1a1.qua' verschoben! J:\bud3mkqr.exe [FUND] Ist das Trojanische Pferd TR/Crypt.ASPM.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '60a1ae60.qua' verschoben! J:\1thes92p.exe [FUND] Ist das Trojanische Pferd TR/PSW.OnlineGames.KDHG.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2521835d.qua' verschoben! Ende des Suchlaufs: Donnerstag, 10. November 2011 21:12 Benötigte Zeit: 00:00 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 45 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 40 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 5 Hinweise Die Suchergebnisse werden an den Guard übermittelt. |
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
|
Ok ich hab den Vollständigen Suchlauf gemacht. MBAM hat nichts gefunden obwohl während dem Scan mein AVIRA wieder angesprungen ist und was gemeldet hat. Ich poste mal die drei Logs die seit dem Befall von MBAM gespeichert wurden und mach dann alles aus um mit ESET weiterzumachen. bei ESET finde ich nur: eset_smart_security_live_installer.exe Ich werds versuchen Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 8160 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 14.11.2011 14:56:41 mbam-log-2011-11-14 (14-56-41).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 160451 Laufzeit: 3 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\programme\Object (PUP.FCTPlugin) -> Quarantined and deleted successfully. Infizierte Dateien: c:\programme\Object\status.txt (PUP.FCTPlugin) -> Quarantined and deleted successfully. c:\programme\Object\config.ini (PUP.FCTPlugin) -> Quarantined and deleted successfully. c:\programme\Object\enable.txt (PUP.FCTPlugin) -> Quarantined and deleted successfully. c:\programme\Object\status2.txt (PUP.FCTPlugin) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 8160 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 14.11.2011 18:52:58 mbam-log-2011-11-14 (18-52-58).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|G:\|I:\|) Durchsuchte Objekte: 421665 Laufzeit: 1 Stunde(n), 43 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\programme\alcohol soft\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Quarantined and deleted successfully. c:\programme\electronic arts\battlefield bad company 2\rld-bbc2.exe (RiskWare.Tool.HCK) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 8163 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 15.11.2011 16:13:26 mbam-log-2011-11-15 (16-13-26).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|) Durchsuchte Objekte: 422503 Laufzeit: 1 Stunde(n), 44 Minute(n), 37 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Zitat:
Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! |
Diese Datei war vorher nicht befallen. Der Virus scheint umherzuspringen. Ich bin mir sicher, dass die Ursache nicht diese Datei ist. |
Zitat:
Nur weil vorher kein Virenscanner diese gemeldet hat, heißt das nicht, dass sie jetzt erst "hinterher infiziert" wurde, das ist eine falsche Schlussfolgerung! Beachten => http://www.trojaner-board.de/95393-c...-software.html http://www.world-of-smilies.com/wos_...eschlossen.gif |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board
