Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Probleme mit Datei in Winsock (https://www.trojaner-board.de/64256-probleme-datei-winsock.html)

ole1981 11.11.2008 22:08
Probleme mit Datei in Winsock
 
Auf ein neues :)

Habe das Problem das ich eine Viruswarnung von Antivir bekomme in der die Datei dhsc.dll als BDS/Agent.ZYI Backdoor erkannt wird. Sobald ich die Datei Lösche komm ich nicht mehr ins Internet, genauso wenn die Datei in Quarantäne verschoben wird.

Hier das Logfile, vielleicht kann mir wer bei der Auswertung helfen.

(Hoffe jetzt passts mit der Regeleinhaltung)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:56:38, on 11.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal


O10 - Unknown file in Winsock LSP: c:\windows\system32\dhsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dhsc.dll


EDIT: Problem mit LSPFix gelöst, habe die Datei aus dem Winsock entfernt und es läuft wieder sauber.

cosinus 11.11.2008 23:29
Hallo und :hallo:

Gerade weil das Teil als Backdoor eingestuft wurde, sollte man hier noch genauer analysieren. Hast Du die Datei noch? Wenn ja => Auswerten lassen bei Virustotal.com und Ergebnisse hier posten.

Desweiteren wäre ein KOMPLETTES HJT-Logfile von Vorteil :rolleyes:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

ole1981 12.11.2008 09:08
Danke für die ausführliche Antwort,

werde das heute abend mal machen und dann hier posten.

Also bis heute abend :)

ole1981 12.11.2008 20:29
So na dann mal los, hatte übrigens gerade wieder die Warnung von Antivir

Als erstes die Auswertung von Virus Total:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.11.13.0        2008.11.12        Win-Trojan/Agent.86016.HV
AntiVir        7.9.0.31        2008.11.12        BDS/Agent.ZYI
Authentium        5.1.0.4        2008.11.12        -
Avast        4.8.1248.0        2008.11.12        -
AVG        8.0.0.199        2008.11.12        -
BitDefender        7.2        2008.11.12        Backdoor.Agent.ZYI
CAT-QuickHeal        9.50        2008.11.12        -
ClamAV        0.94.1        2008.11.12        -
DrWeb        4.44.0.09170        2008.11.12        -
eSafe        7.0.17.0        2008.11.12        -
eTrust-Vet        31.6.6204        2008.11.11        -
Ewido        4.0        2008.11.12        -
F-Prot        4.4.4.56        2008.11.11        -
F-Secure        8.0.14332.0        2008.11.12        -
Fortinet        3.117.0.0        2008.11.12        -
GData        19        2008.11.12        Backdoor.Agent.ZYI
Ikarus        T3.1.1.45.0        2008.11.12        Trojan-Dropper.Agent
K7AntiVirus        7.10.523        2008.11.12        Trojan.Win32.Malware.1
Kaspersky        7.0.0.125        2008.11.12        -
McAfee        5431        2008.11.12        -
Microsoft        1.4104        2008.11.12        -
NOD32        3607        2008.11.12        -
Norman        5.80.02        2008.11.12        -
Panda        9.0.0.4        2008.11.12        Bck/Agent.KFJ
PCTools        4.4.2.0        2008.11.12        -
Prevx1        V2        2008.11.12        Malware Downloader
Rising        21.03.22.00        2008.11.12        -
SecureWeb-Gateway        6.7.6        2008.11.12        -
Sophos        4.35.0        2008.11.12        -
Sunbelt        3.1.1785.2        2008.11.11        -
Symantec        10        2008.11.12        Trojan.Ascesso
TheHacker        6.3.1.1.149        2008.11.12        -
TrendMicro        8.700.0.1004        2008.11.12        -
VBA32        3.12.8.9        2008.11.11        -
ViRobot        2008.11.12.1463        2008.11.12        -
VirusBuster        4.5.11.0        2008.11.12        -

weitere Informationen
File size: 86016 bytes
MD5...: d67cdff1743f5aef74d8a6705233ee45
SHA1..: 80e6c0464f890c5abee7b7853949ed8831d7ef4e
SHA256: 6fe118823534ec7da87e5dc70f968052fde7b259eb18d683cacac7ff462c5119
SHA512: 873d9254f90d5fb97a6e084fb5b85b98923b25dbf15f49f0990a7a9de6f4e9c6
d354a4d6792da77cff7788c635e18218f4611110e48d70b72bcb0671c13f0fd1
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1fb08ebb
timedatestamp.....: 0x48d6464b (Sun Sep 21 13:04:11 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd624 0xe000 6.57 00b1b0fee110268a17b894aa28fe4a93
.rdata 0xf000 0x2827 0x3000 4.40 c468528835062b6ef9217711bf37a8e5
.data 0x12000 0x1620 0x1000 2.21 7d6f9225ab4f00b54b9085c730f3acc0
.reloc 0x14000 0x14ea 0x2000 3.31 abe7199f02a530f27cb370bf936f6a1a

( 4 imports )
> KERNEL32.dll: InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, CloseHandle, WriteFile, CreateFileA, DeleteFileA, CreateDirectoryA, Sleep, GetTickCount, GetEnvironmentVariableA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, MultiByteToWideChar, WideCharToMultiByte, GlobalAlloc, GlobalFree, FreeLibrary, GetProcAddress, LoadLibraryA, lstrlenW, lstrlenA, HeapAlloc, GetProcessHeap, HeapDestroy, HeapFree, TerminateThread, GetCurrentThread, SetUnhandledExceptionFilter, GetModuleFileNameA, LoadLibraryW, ExpandEnvironmentStringsW, HeapCreate, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, RtlUnwind, RaiseException, GetCurrentThreadId, GetCommandLineA, VirtualFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, TlsAlloc, SetLastError, GetLastError, TlsFree, TlsSetValue, TlsGetValue, GetModuleHandleA, ExitProcess, TerminateProcess, GetCurrentProcess, HeapSize, LCMapStringA, LCMapStringW, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, UnhandledExceptionFilter, VirtualQuery, IsBadReadPtr, IsBadCodePtr, GetOEMCP, GetCPInfo, VirtualProtect, GetSystemInfo, GetStringTypeA, GetStringTypeW
> USER32.dll: wsprintfA
> WS2_32.dll: WSCInstallProvider, WSCEnumProtocols, -, -, WSCGetProviderPath
> RPCRT4.dll: UuidCreate

( 4 exports )
DllMain, DllRegisterServer, DllUnregisterServer, WSPStartup
Als nächstes die HijackThis Auswertung:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:28:17, on 12.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
XXX:\WINDOWS\System32\smss.exe
XXX:\WINDOWS\system32\winlogon.exe
XXX:\WINDOWS\system32\services.exe
XXX:\WINDOWS\system32\lsass.exe
XXX:\WINDOWS\system32\svchost.exe
XXX:\WINDOWS\System32\svchost.exe
XXX:\XXX\Sygate\SPF\smc.exe
XXX:\WINDOWS\Explorer.EXE
XXX:\XXX\Lavasoft\Ad-Aware\aawservice.exe
XXX:\WINDOWS\system32\spoolsv.exe
XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avguard.exe
XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\sched.exe
XXX:\XXX\XXX\Microsoft Shared\VS7DEBUG\mdm.exe
XXX:\WINDOWS\system32\nvsvc32.exe
XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avgnt.exe
XXX:\XXX\Java\jre1.6.0_06\bin\jusched.exe
XXX:\WINDOWS\system32\ctfmon.exe
XXX:\XXX\Mozilla Firefox\firefox.exe
XXX:\XXX\Microsoft Office\Office12\OUTLOOK.EXE
XXX:\XXX\XXX\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - XXX:\XXX\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - XXX:\XXX\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - XXX:\XXX\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - XXX:\XXX\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - XXX:\XXX\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Gainward] XXX:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] XXX:\XXX\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "XXX:\XXX\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE XXX:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] XXX:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://XXX:\XXX\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - XXX:\XXX\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - XXX:\XXX\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - XXX:\XXX\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - XXX:\XXX\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - XXX:\XXX\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - XXX:\XXX\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - XXX:\XXX\PartyGaming\PartyPoker\RunApp.exe (file missing)
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{365BACA3-34F7-4733-8DD5-CF46F5EDDFBA}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{365BACA3-34F7-4733-8DD5-CF46F5EDDFBA}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - XXX:\XXX\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - XXX:\XXX\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - XXX:\XXX\AVPersonal\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - XXX:\XXX\XXX\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - XXX:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - XXX:\XXX\Sygate\SPF\smc.exe

--
End of file - 6128 bytes
Hoffe das hilft erstmal weiter.

Gruß Ole

cosinus 12.11.2008 20:46
Hm da snd mehrere Scanner, die das Teil als Backdoor einstufen, bin mal gespannt auf die nächsten Logs.

Mullay 13.11.2008 08:29
[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

ole1981 13.11.2008 20:32
Nabend zusammen,

anbei der Quickscanlog von Malwarebytes, Fullscan folgt.

Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1383
Windows 5.1.2600 Service Pack 2

13.11.2008 20:40:27
mbam-log-2008-11-13 (20-40-27).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 77832
Laufzeit: 8 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ole1981 14.11.2008 21:52
Nabend,

anbei weitere Logfiles,

Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 13. November 2008  22:18

Es wird nach 1034249 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    XXXXX
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    XXX
Computername:    XXX

Versionsinformationen:
BUILD.DAT    : 8.2.0.336      16933 Bytes  30.10.2008 11:40:00
AVSCAN.EXE    : 8.1.4.7      315649 Bytes  17.07.2008 19:07:27
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 19:07:27
LUKE.DLL      : 8.1.4.5      164097 Bytes  17.07.2008 19:07:27
LUKERES.DLL  : 8.1.4.0        12545 Bytes  17.07.2008 19:07:27
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 06:50:41
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  09.11.2008 19:02:36
ANTIVIR2.VDF  : 7.1.0.57        2048 Bytes  09.11.2008 19:02:36
ANTIVIR3.VDF  : 7.1.0.83      190976 Bytes  13.11.2008 19:02:51
Engineversion : 8.2.0.31 
AEVDF.DLL    : 8.1.0.6      102772 Bytes  15.10.2008 13:45:23
AESCRIPT.DLL  : 8.1.1.15      332156 Bytes  11.11.2008 19:03:35
AESCN.DLL    : 8.1.1.5      123251 Bytes  07.11.2008 19:02:40
AERDL.DLL    : 8.1.1.3      438645 Bytes  06.11.2008 09:32:37
AEPACK.DLL    : 8.1.3.4      393591 Bytes  11.11.2008 19:03:34
AEOFFICE.DLL  : 8.1.0.30      196986 Bytes  07.11.2008 19:02:40
AEHEUR.DLL    : 8.1.0.71    1487222 Bytes  07.11.2008 19:02:39
AEHELP.DLL    : 8.1.1.3      119157 Bytes  07.11.2008 19:02:35
AEGEN.DLL    : 8.1.1.0      319859 Bytes  07.11.2008 19:02:35
AEEMU.DLL    : 8.1.0.9      393588 Bytes  15.10.2008 13:45:19
AECORE.DLL    : 8.1.4.1      172405 Bytes  07.11.2008 19:02:34
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 13:45:18
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  17.07.2008 19:07:27
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 19:07:27
AVREP.DLL    : 8.0.0.2        98344 Bytes  01.08.2008 18:19:50
AVREG.DLL    : 8.0.0.1        33537 Bytes  17.07.2008 19:07:27
AVARKT.DLL    : 1.0.0.23      307457 Bytes  14.04.2008 20:08:41
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 19:07:27
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  14.04.2008 20:08:42
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  17.07.2008 19:07:27
NETNT.DLL    : 8.0.0.1        7937 Bytes  14.04.2008 20:08:42
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  17.07.2008 19:07:25
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  17.07.2008 19:07:25

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: XXX\XXX\avpersonal\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: XXX:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 13. November 2008  22:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ad-Aware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '26' Prozesse mit '26' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]  Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'XXX'
    [INFO]      Es wurde kein Virus gefunden!


Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'XXX' <Boot>
XXX\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
XXX\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'XXX' <Programme>
Beginne mit der Suche in 'XXX' <Daten>
XXX\Eigene\nvidia_amdx16_685_32.exe
    [0] Archivtyp: CAB SFX (self extracting)
    --> \AudioDrv\nvack.dll
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
XXX\Eigene\nvidia_mcp73_1608_xp32.exe
    [0] Archivtyp: CAB SFX (self extracting)
    --> \Display\CAD.tv_
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
XXX\Eigene\nvidia_nf3_511whql.exe
    [0] Archivtyp: CAB SFX (self extracting)
    --> \AudioDrv\nvack.dll
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
XXX\Eigene\Downloads\Programmierung\dwmx2004_701update_de.exe
    [0] Archivtyp: CAB SFX (self extracting)
    --> \Disk1\data1.hdr
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.



Ende des Suchlaufs: Freitag, 14. November 2008  09:11
Benötigte Zeit: 10:52:50 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  14235 Verzeichnisse wurden überprüft
 761889 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      6 Dateien konnten nicht durchsucht werden
 761882 Dateien ohne Befall
  5150 Archive wurden durchsucht
    15 Warnungen
      0 Hinweise
als nächstes das log von Malewarebytes Full scan

Code:
Scan mode:                                Full
Scan time:                                10:10:20
Number of objects scanned:                329598
Number of infections found:                3
  Critical:                                0
  Privacy Objects:                        3
Infections deleted:                        3
Total infections quarantined:                0
Total infections ignored by scanner:          0
So das wars dann erstmal,

Wie gehts nun weiter :) ?

Gruß Ole

cosinus 15.11.2008 16:00
Zitat:
Zitat von ole1981 (Beitrag 392324)
Wie gehts nun weiter :) ?
:confused:

Wie wärs wenn Du die Liste abackerst!


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131