Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 (https://www.trojaner-board.de/113215-antivir-meldet-tr-dropper-gen7-tr-eyestye-c-cfg-160-a.html)

hurse 05.04.2012 19:36

Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160
 
Hallo zusammen,

bei einem heutigen Virensuchlauf fand Antivir den Trojaner TR/Dropper.Gen7 in der Datei C:\skhfushjfls\config.bin und den Trojaner TR/EyeStye.C.cfg.160 in der Datei C:\Program Files\Electronic Arts\Die Sims 3\Game\Bin\Sims3Launcher.exe. Antivir hat diese Dateien beim Suchlauf automatisch gelöscht.
Natürlich bin ich jetzt etwas verunsichert und habe die Anweisungen vor dem Erstellen eines Themas befolgt.
Es würde mich sehr freuen, wenn sich jemand aus eurem Team mal meine Logfiles anschauen könnte.

DDS.txt:

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 7.0.6002.18005
Run by Christian neu at 19:18:51 on 2012-04-05
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2046.1263 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Hotspot Shield\bin\openvpnas.exe
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
C:\Program Files\Hotspot Shield\bin\hsswd.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File
BHO: Hotspot Shield Class: {f9e4a054-e9b1-4bc3-83a3-76a1ae736170} - c:\program files\hotspot shield\hssie\HssIE.dll
uRun: [ICQ] "c:\program files\icq7.6\ICQ.exe" silent loginmode=4
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: {7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\icq7.6\ICQ.exe
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 83.169.185.161 83.169.185.225
TCP: Interfaces\{34C2C585-C207-4700-8EDF-4EE6911ACD89} : DhcpNameServer = 83.169.185.161 83.169.185.225
mASetup: {A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2} - c:\program files\pixiepack codec pack\InstallerHelper.exe
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\christian neu\appdata\roaming\mozilla\firefox\profiles\fzjqmk6s.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (en)
FF - prefs.js: browser.startup.homepage - hxxp://de.wikipedia.org/wiki/Wikipedia:Hauptseite
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\microsoft silverlight\5.0.61118.0\npctrlui.dll
FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dv.dll
FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dvstreaming.dll
FF - plugin: c:\program files\veetle\player\npvlc.dll
FF - plugin: c:\program files\veetle\plugins\npVeetle.dll
.
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-12-6 36000]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-12-6 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-12-6 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-12-6 74640]
R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2011-3-31 21504]
R2 hshld;Hotspot Shield Service;c:\program files\hotspot shield\bin\openvpnas.exe [2012-1-6 331608]
R2 HssWd;Hotspot Shield Monitoring Service;c:\program files\hotspot shield\bin\hsswd.exe -product hss --> c:\program files\hotspot shield\bin\hsswd.exe -product HSS [?]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\nvidia corporation\3d vision\nvSCPAPISvr.exe [2011-10-15 381248]
R3 RRNetCapMP;RRNetCapMP;c:\windows\system32\drivers\rrnetcap.sys [2010-11-16 31848]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2011-4-4 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2011-4-4 136176]
S3 RRNetCap;RRNetCap Service;c:\windows\system32\drivers\rrnetcap.sys [2010-11-16 31848]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-03-27 13:10:28 -------- d-----r- c:\users\christian neu\Dropbox
2012-03-27 13:07:29 -------- d-----w- c:\users\christian neu\appdata\roaming\Dropbox
2012-03-19 02:26:43 592824 ----a-w- c:\program files\mozilla firefox\gkmedias.dll
2012-03-19 02:26:43 44472 ----a-w- c:\program files\mozilla firefox\mozglue.dll
2012-03-14 17:05:58 2044416 ----a-w- c:\windows\system32\win32k.sys
2012-03-14 17:05:55 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-03-14 17:05:55 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-03-14 17:05:55 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-03-14 17:05:55 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-03-14 17:05:55 1068544 ----a-w- c:\windows\system32\DWrite.dll
2012-03-14 17:05:54 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat
2012-03-14 11:31:03 613376 ----a-w- c:\windows\system32\rdpencom.dll
2012-03-14 11:31:03 180736 ----a-w- c:\windows\system32\drivers\rdpwd.sys
.
==================== Find3M ====================
.
2012-02-20 12:57:34 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-19 21:30:57 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
.
============= FINISH: 19:19:50,35 ===============

cosinus 06.04.2012 16:21

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

hurse 06.04.2012 20:55

Eine Sache vorweg:

Aus dem Pfad "C:\Windows.old.000\Users\Christian\Documents\ICQ\399774680\ReceivedFiles\492920911 johannes\Sony.Vegas.Pro.8.0b.Build.217\keygen.exe" im Malwarebytes-Log geht ziemlich eindeutig hervor, dass ich ein illegal kopiertes Programm auf meinem Rechner habe. Nach den Regeln hier im Forum bedeutet das, soweit ich das verstanden habe, dass der Support für mich eingestellt wird.
Ich vermute, dass betteln nicht helfen wird, aber ich versuche es dennoch: Ich habe tatsächlich circa eine handvoll illegal kopierte Programme auf meinem Rechner. Am Dateipfad ist aber schon zu erkennen, dass das Profil nicht mein aktuelles ist. Seit geraumer Zeit (über 1 Jahr, schätze ich) lasse ich grundsätzlich die Finger von illegalen Kopien. Ich weiß nicht, was "Backdoor.Sdbot" genau für eine Gefahr darstellt, aber dass Malwarebytes in den illegalen Dateinen überhaupt Malware entdeckt, bestätigt mich schon in meinem heutigen Misstrauen.
Also, falls ihr den Support einstellt, muss ich mir wohl woanders Hilfe suchen, aber auf jeden Fall danke ich für die Betreuung bis zu diesem Zeitpunkt :)

Hier der Malwarebytes-Log:

Code:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.06.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Christian neu :: BETTY [Administrator]

06.04.2012 17:37:33
mbam-log-2012-04-06 (17-37-33).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 403970
Laufzeit: 1 Stunde(n), 46 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\skhfushjfls (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Windows.old.000\Users\Christian\Documents\ICQ\399774680\ReceivedFiles\492920911 johannes\Sony.Vegas.Pro.8.0b.Build.217\keygen.exe (Backdoor.Sdbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

und der ESET-Log:

Code:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d8d19b60d6f9244c927f52eb5c015493
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-06 07:37:53
# local_time=2012-04-06 09:37:53 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 10615130 10615130 0 0
# compatibility_mode=5892 16776638 100 95 32136191 171266750 0 0
# compatibility_mode=8192 67108863 100 0 163 163 0 0
# scanned=308993
# found=3
# cleaned=0
# scan_time=7051
C:\Program Files\KONAMI\Pro Evolution Soccer 2012\rld.dll        a variant of Win32/Packed.VMProtect.AAH trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows.old\Program Files\Everest Poker\cstart-tmp.exe        a variant of Win32/Casino application (unable to clean)        00000000000000000000000000000000        I
C:\Windows.old\Program Files\Everest Poker\Everest Poker.exe        a variant of Win32/Casino application (unable to clean)        00000000000000000000000000000000        I

Edit:

Ich habe gerade einen Antivir-Suchlauf auf meiner externen Festplatte (D:) durchgeführt. Dabei wurden in der Datei "D:\Musik\Radiohead - Airbag_2.mp3" Erkennungsmuster des Droppers DR/FakePic.Gen erkannt. Die Datei wurde gelöscht.

Die Log-File:

Code:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 6. April 2012  21:57

Es wird nach 3597466 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus    : Normal gebootet
Benutzername  : Christian neu
Computername  : BETTY

Versionsinformationen:
BUILD.DAT      : 12.0.0.898    41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE    : 12.1.0.20    492496 Bytes  21.02.2012 23:24:16
AVSCAN.DLL    : 12.1.0.18      65744 Bytes  21.02.2012 23:24:16
LUKE.DLL      : 12.1.0.19      68304 Bytes  21.02.2012 23:24:16
AVSCPLR.DLL    : 12.1.0.22    100048 Bytes  21.02.2012 23:24:16
AVREG.DLL      : 12.1.0.36    229128 Bytes  05.04.2012 17:34:23
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 19:18:34
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 10:07:39
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 23:15:06
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 10:40:05
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 12:34:43
VBASE005.VDF  : 7.11.26.45      2048 Bytes  28.03.2012 12:34:43
VBASE006.VDF  : 7.11.26.46      2048 Bytes  28.03.2012 12:34:43
VBASE007.VDF  : 7.11.26.47      2048 Bytes  28.03.2012 12:34:43
VBASE008.VDF  : 7.11.26.48      2048 Bytes  28.03.2012 12:34:43
VBASE009.VDF  : 7.11.26.49      2048 Bytes  28.03.2012 12:34:43
VBASE010.VDF  : 7.11.26.50      2048 Bytes  28.03.2012 12:34:43
VBASE011.VDF  : 7.11.26.51      2048 Bytes  28.03.2012 12:34:43
VBASE012.VDF  : 7.11.26.52      2048 Bytes  28.03.2012 12:34:44
VBASE013.VDF  : 7.11.26.53      2048 Bytes  28.03.2012 12:34:44
VBASE014.VDF  : 7.11.26.107  221696 Bytes  30.03.2012 17:34:47
VBASE015.VDF  : 7.11.26.179  224768 Bytes  02.04.2012 17:34:19
VBASE016.VDF  : 7.11.26.241  142336 Bytes  04.04.2012 17:37:45
VBASE017.VDF  : 7.11.26.242    2048 Bytes  04.04.2012 17:37:45
VBASE018.VDF  : 7.11.26.243    2048 Bytes  04.04.2012 17:37:45
VBASE019.VDF  : 7.11.26.244    2048 Bytes  04.04.2012 17:37:45
VBASE020.VDF  : 7.11.26.245    2048 Bytes  04.04.2012 17:37:46
VBASE021.VDF  : 7.11.26.246    2048 Bytes  04.04.2012 17:37:46
VBASE022.VDF  : 7.11.26.247    2048 Bytes  04.04.2012 17:37:46
VBASE023.VDF  : 7.11.26.248    2048 Bytes  04.04.2012 17:37:46
VBASE024.VDF  : 7.11.26.249    2048 Bytes  04.04.2012 17:37:46
VBASE025.VDF  : 7.11.26.250    2048 Bytes  04.04.2012 17:37:46
VBASE026.VDF  : 7.11.26.251    2048 Bytes  04.04.2012 17:37:46
VBASE027.VDF  : 7.11.26.252    2048 Bytes  04.04.2012 17:37:46
VBASE028.VDF  : 7.11.26.253    2048 Bytes  04.04.2012 17:37:46
VBASE029.VDF  : 7.11.26.254    2048 Bytes  04.04.2012 17:37:46
VBASE030.VDF  : 7.11.26.255    2048 Bytes  04.04.2012 17:37:46
VBASE031.VDF  : 7.11.27.38    201216 Bytes  06.04.2012 17:34:14
Engineversion  : 8.2.10.38
AEVDF.DLL      : 8.1.2.2      106868 Bytes  05.12.2011 22:03:43
AESCRIPT.DLL  : 8.1.4.16      446842 Bytes  04.04.2012 17:37:50
AESCN.DLL      : 8.1.8.2      131444 Bytes  29.01.2012 23:23:39
AESBX.DLL      : 8.2.5.5      606579 Bytes  13.03.2012 13:42:26
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 22:16:06
AEPACK.DLL    : 8.2.16.9      807287 Bytes  31.03.2012 17:34:52
AEOFFICE.DLL  : 8.1.2.27      201082 Bytes  04.04.2012 17:37:50
AEHEUR.DLL    : 8.1.4.12    4604278 Bytes  04.04.2012 17:37:50
AEHELP.DLL    : 8.1.19.1      254327 Bytes  02.04.2012 17:34:27
AEGEN.DLL      : 8.1.5.23      409973 Bytes  08.03.2012 12:17:34
AEEXP.DLL      : 8.1.0.28      82292 Bytes  04.04.2012 17:37:50
AEEMU.DLL      : 8.1.3.0      393589 Bytes  01.09.2011 22:46:01
AECORE.DLL    : 8.1.25.6      201078 Bytes  16.03.2012 15:13:50
AEBB.DLL      : 8.1.1.0        53618 Bytes  01.09.2011 22:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  19.10.2011 15:55:51
AVPREF.DLL    : 12.1.0.17      51920 Bytes  19.10.2011 15:55:48
AVREP.DLL      : 12.1.0.17    179408 Bytes  19.10.2011 15:55:49
AVARKT.DLL    : 12.1.0.23    209360 Bytes  21.02.2012 23:24:16
AVEVTLOG.DLL  : 12.1.0.17    169168 Bytes  19.10.2011 15:55:47
SQLITE3.DLL    : 3.7.0.0      398288 Bytes  19.10.2011 15:56:03
AVSMTP.DLL    : 12.1.0.17      62928 Bytes  19.10.2011 15:55:50
NETNT.DLL      : 12.1.0.17      17104 Bytes  19.10.2011 15:55:59
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  19.10.2011 15:56:14
RCTEXT.DLL    : 12.1.0.16      98512 Bytes  19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\CHRIST~1\AppData\Local\Temp\70373816.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: D:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO 9660,
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 6. April 2012  21:57

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\' <MyDrive>
D:\Musik\Radiohead - Airbag_2.mp3
  [FUND]      Enthält Erkennungsmuster des Droppers DR/FakePic.Gen
  [HINWEIS]  Die Datei wurde gelöscht.


Ende des Suchlaufs: Freitag, 6. April 2012  22:04
Benötigte Zeit: 06:30 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

    118 Verzeichnisse wurden überprüft
  10481 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
  10480 Dateien ohne Befall
      6 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


cosinus 06.04.2012 21:06

Zitat:

Am Dateipfad ist aber schon zu erkennen, dass das Profil nicht mein aktuelles ist.
Nur leider hast du das damals durch Keygens/Cracks versiffte Windows nicht plattgemacht, sonst wäre der Windows.old Ordner auch nicht mehr vorhanden. Du hättest formatieren müssen :(

Ich hätte eh eine Neuinstallation empfohlen und zwar weil sich der Befall mit SpyEyes (auch bekannt als EyeStye) bestätigt:

Zitat:

C:\skhfushjfls (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Folge bitte dem Artikel zur Neuinstallation von Windows. Wenn du Hilfe dabei brauchst helfe ich gern weiter, auch bzgl. Datensicherung über eine sichere Umgebung:

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

hurse 06.04.2012 21:26

Nun habe ich zur Datensicherung aber nur die externe Festplatte zur Verfügung, die, siehe Nachtrag im vorherigen Post, auch befallen zu sein scheint. Wie mache ich die wieder fit?

Die Konstellation könnte unglücklicher kaum sein. Einige persönliche Dateien sind nur auf der externen Platte, einige nur auf der lokalen Festplatte.

Und überhaupt: Wie kann ich sichergehen, dass bei der Datenrettung nicht doch etwas rüberflutscht? Ich habe nur .mp3- und .jpg-Dateien und ein paar Videos sowie ein paar .flp-Dateien auf die externe Festplatte kopiert. Sie war ja dafür da, um persönliche Datein sicher zu lagern. Trotzdem ist sie jetzt infiziert.

Ist eine Reinigung ausgeschlossen? Am PC meiner Mutter habe ich einmal eine Reinigung, auch nach Anleitung durch das Trojanerboard, ausgeführt. Es hat zwar lange gedauert, aber das wäre es mir wert. Und falls es doch eine Formatierung sein muss: Wie sieht es mit Spiel-Savegames aus? Kann ich die problemlos sichern?

Ich weiß, dieser Beitrag ist etwas unstrukturiert und umständlich formuliert. Entschuldigung, ich bin gerade etwas aufgebracht

cosinus 06.04.2012 21:47

Deswegen sicherst du ja über das Live-System

Zitat:

Und überhaupt: Wie kann ich sichergehen, dass bei der Datenrettung nicht doch etwas rüberflutscht?
Sagmal wozu hab ich denn oben soviel getextet :balla:
Einfach mal lesen, da sind sogar einige Passagen fett und rot markiert

Es gibt KEINE infizierte Festplatte! Wenn überhaupt kann eine Festplatte infizierte Daten enthalten!
Lösch am besten alle ausführbaren Dateien von der Platte. Und falls vorhanden die autorun.inf (sollte direkt auf der Platte sein)

Zitat:

Ist eine Reinigung ausgeschlossen?
Ja, es kommen gleich zwei Faktoren

1.) Keygens/Cracks
2.) SpyEyes

Allein eins von den beiden ist schon das KO-Kriterium für eine Neuinstallation

hurse 11.04.2012 13:02

Heute wollte ich mich eigentlich der Dateiensicherung widmen.

Nach dem Hochfahren des Rechners hängte das Betriebssystem aber, sodass ich den PC neustartete. Dann aber führte das System eine "Überprüfung des Datenträgers" in weißen Buchstaben auf schwarzem Grund durch. Dabei reparierte und verschob es anscheinend einige Dateien.

Hat das irgendeine Auswirkung auf meine weitere Vorgehensweise?

cosinus 11.04.2012 14:20

Wieso? Du startest doch von der Live-CD, du sollst ja nicht mehr Windows booten um von da aus zu sichern

hurse 11.04.2012 14:43

Ok.

Und nun noch eine (hoffentlich) allerletzte Frage:

Wenn ich dich richtig verstehe, soll ich allle ausführbaren Dateien von der externen Festplatte löschen, um sie zu säubern.

Antivir aber meldete ja, dass eine .mp3-Datei befallen gewesen sei.

Wie passt das zusammen?

cosinus 11.04.2012 15:22

Du meinst das?

Zitat:

Beginne mit der Suche in 'D:\' <MyDrive>
D:\Musik\Radiohead - Airbag_2.mp3
[FUND] Enthält Erkennungsmuster des Droppers DR/FakePic.Gen
[HINWEIS] Die Datei wurde gelöscht.
Das sieht eher nach einem Fehlalarm aus

hurse 13.04.2012 13:38

Formatierung und Windows-Neuinstallation wurden erfolgreich abgeschlossen.

Ich danke vielmals für alle erfolgten Hilfestellungen :)

Von meiner Seite wäre das Thema damit erledigt


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131