|
Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Hallo zusammen, ich habe im Board schon gesucht aber beim vorliegenden Tr/dropper.gen Trojaner wurden immer individuelle Anweisungen zum bereinigen gegeben. Deswegen hoffe ihr könnt mir auch helfen. Als Virenscanner benutze ich antivir 10, load und olt habe ich schon aus geführt Logs hänge ich an. Was mich wundert ist das der Trojaner in der ABB software auch gefunden wurde und die ist von der Herstellerseite und sollte doch eigentlich Viren/Trojaner frei sein. Vielen Dank im Voraus. Sira ps. was macht der tr/dropper.gen eigentlich? Ich poste die Logs nochmal ungezippt OLT:OTL Logfile: Code: OTL Extras logfile created on: 09.11.2010 13:55:27 - Run 1OTL Logfile: Code: OTL logfile created on: 09.11.2010 13:55:27 - Run 1Malware: Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 5080 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 09.11.2010 13:41:09 mbam-log-2010-11-09 (13-41-09).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 147868 Laufzeit: 12 Minute(n), 36 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ps. die gefundenen Dateien hab ich erstma in den Quarantäneordner von Antivir gesteckt |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hallo hier der Vollscanlog: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5121 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 15.11.2010 21:49:00 mbam-log-2010-11-15 (21-49-00).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|) Durchsuchte Objekte: 342252 Laufzeit: 2 Stunde(n), 28 Minute(n), 0 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Beim Scannen von Malwarebytes hatte Antivir auf Laufwerk D wieder den selben Trojaner festgestellt( ich habe die Dateien gelöscht 7Stück). Was mich so wundert ist das Laufwerk D meine Xp Partion ist auf der eigentlich noch Arbeitsprogramme von der Arbeitlaufen, da diese nicht kompatible mit Win7 waren. Die Programme die auf D installiert wurden stammen nur von den Herstellern seien. Komisch das Antivir beim letzten Vollscan diese Dateien auch nicht gefunden hatte. Vielen Dank im Voraus Antivir Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 15. November 2010 21:08 Es wird nach 3029931 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : xxx-PC Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 20:25:23 AVSCAN.DLL : 10.0.3.0 56168 Bytes 23.04.2010 16:26:59 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:36:39 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 21:11:24 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:04:26 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 20:36:19 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 20:25:22 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 20:25:22 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 20:25:22 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 20:25:22 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 20:25:22 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 19:35:59 VBASE015.VDF : 7.10.13.148 2048 Bytes 07.11.2010 19:35:59 VBASE016.VDF : 7.10.13.149 2048 Bytes 07.11.2010 19:35:59 VBASE017.VDF : 7.10.13.150 2048 Bytes 07.11.2010 19:35:59 VBASE018.VDF : 7.10.13.151 2048 Bytes 07.11.2010 19:35:59 VBASE019.VDF : 7.10.13.152 2048 Bytes 07.11.2010 19:35:59 VBASE020.VDF : 7.10.13.153 2048 Bytes 07.11.2010 19:36:00 VBASE021.VDF : 7.10.13.154 2048 Bytes 07.11.2010 19:36:00 VBASE022.VDF : 7.10.13.155 2048 Bytes 07.11.2010 19:36:00 VBASE023.VDF : 7.10.13.156 2048 Bytes 07.11.2010 19:36:00 VBASE024.VDF : 7.10.13.157 2048 Bytes 07.11.2010 19:36:00 VBASE025.VDF : 7.10.13.158 2048 Bytes 07.11.2010 19:36:00 VBASE026.VDF : 7.10.13.159 2048 Bytes 07.11.2010 19:36:00 VBASE027.VDF : 7.10.13.160 2048 Bytes 07.11.2010 19:36:00 VBASE028.VDF : 7.10.13.161 2048 Bytes 07.11.2010 19:36:01 VBASE029.VDF : 7.10.13.162 2048 Bytes 07.11.2010 19:36:01 VBASE030.VDF : 7.10.13.163 2048 Bytes 07.11.2010 19:36:01 VBASE031.VDF : 7.10.13.177 109568 Bytes 09.11.2010 12:19:31 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 14.08.2010 10:05:35 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 20:25:22 AESCN.DLL : 8.1.6.1 127347 Bytes 22.05.2010 16:57:10 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 16:26:59 AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 21:45:15 AEPACK.DLL : 8.2.3.11 471416 Bytes 20.10.2010 21:48:07 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25.07.2010 16:07:06 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 04.11.2010 20:25:22 AEHELP.DLL : 8.1.14.0 246134 Bytes 20.10.2010 21:48:03 AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 20:25:22 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 16:26:58 AECORE.DLL : 8.1.17.0 196982 Bytes 03.10.2010 17:04:15 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 16:26:58 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 20:25:23 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 20:25:23 AVARKT.DLL : 10.0.0.14 227176 Bytes 23.04.2010 16:26:59 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 20:25:22 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4d012d00\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,-BDC,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 15. November 2010 21:08 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PHControl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FastUserSwitching.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DynUpSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020399.exe' D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020399.exe [FUND] Ist das 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020403.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '495a356a.qua' verschoben! D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020403.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51cd1acd.qua' verschoben! Ende des Suchlaufs: Montag, 15. November 2010 21:12 Benötigte Zeit: 03:40 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 60 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 58 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 2 Hinweise 37565 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Die Suchergebnisse werden an den Guard übermittelt. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 15. November 2010 21:12 Es wird nach 3029931 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : xxx-PC Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 20:25:23 AVSCAN.DLL : 10.0.3.0 56168 Bytes 23.04.2010 16:26:59 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:36:39 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 21:11:24 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:04:26 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 20:36:19 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 20:25:22 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 20:25:22 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 20:25:22 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 20:25:22 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 20:25:22 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 19:35:59 VBASE015.VDF : 7.10.13.148 2048 Bytes 07.11.2010 19:35:59 VBASE016.VDF : 7.10.13.149 2048 Bytes 07.11.2010 19:35:59 VBASE017.VDF : 7.10.13.150 2048 Bytes 07.11.2010 19:35:59 VBASE018.VDF : 7.10.13.151 2048 Bytes 07.11.2010 19:35:59 VBASE019.VDF : 7.10.13.152 2048 Bytes 07.11.2010 19:35:59 VBASE020.VDF : 7.10.13.153 2048 Bytes 07.11.2010 19:36:00 VBASE021.VDF : 7.10.13.154 2048 Bytes 07.11.2010 19:36:00 VBASE022.VDF : 7.10.13.155 2048 Bytes 07.11.2010 19:36:00 VBASE023.VDF : 7.10.13.156 2048 Bytes 07.11.2010 19:36:00 VBASE024.VDF : 7.10.13.157 2048 Bytes 07.11.2010 19:36:00 VBASE025.VDF : 7.10.13.158 2048 Bytes 07.11.2010 19:36:00 VBASE026.VDF : 7.10.13.159 2048 Bytes 07.11.2010 19:36:00 VBASE027.VDF : 7.10.13.160 2048 Bytes 07.11.2010 19:36:00 VBASE028.VDF : 7.10.13.161 2048 Bytes 07.11.2010 19:36:01 VBASE029.VDF : 7.10.13.162 2048 Bytes 07.11.2010 19:36:01 VBASE030.VDF : 7.10.13.163 2048 Bytes 07.11.2010 19:36:01 VBASE031.VDF : 7.10.13.177 109568 Bytes 09.11.2010 12:19:31 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 14.08.2010 10:05:35 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 20:25:22 AESCN.DLL : 8.1.6.1 127347 Bytes 22.05.2010 16:57:10 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 16:26:59 AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 21:45:15 AEPACK.DLL : 8.2.3.11 471416 Bytes 20.10.2010 21:48:07 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25.07.2010 16:07:06 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 04.11.2010 20:25:22 AEHELP.DLL : 8.1.14.0 246134 Bytes 20.10.2010 21:48:03 AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 20:25:22 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 16:26:58 AECORE.DLL : 8.1.17.0 196982 Bytes 03.10.2010 17:04:15 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 16:26:58 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 20:25:23 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 20:25:23 AVARKT.DLL : 10.0.0.14 227176 Bytes 23.04.2010 16:26:59 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 20:25:22 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4d012d00\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,-BDC,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 15. November 2010 21:12 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PHControl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FastUserSwitching.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DynUpSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020411.exe' D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020411.exe [FUND] Ist das TrojaSystem Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020419.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020419.exe [FUND] Ist das Trojanische Pferd TR/Droppeion\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020427.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020427.exe [FUND] Ist das 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020434.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020434.exe nne mit der Suche in 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020442.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020442.exe [FUND] Ist das Tro:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020449.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020449.exe [FUND] der Suche in 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020464.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020464.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen Beginne mit der Desinfektion: D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020464.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020449.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020442.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020434.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020427.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020419.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020411.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Montag, 15. November 2010 21:17 Benötigte Zeit: 02:03 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 66 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 7 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 59 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 7 Hinweise 37566 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Die Suchergebnisse werden an den Guard übermittelt. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Anbei der Olt log mit dem Fix: All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\autoexec.bat moved successfully. File not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\ not found. File F:\Install.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\ not found. File F:\Installer.exe not found. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: XXX ->Temp folder emptied: 383942890 bytes ->Temporary Internet Files folder emptied: 145374462 bytes ->Java cache emptied: 10696033 bytes ->FireFox cache emptied: 54257538 bytes ->Flash cache emptied: 14038 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 33548282 bytes RecycleBin emptied: 1474432744 bytes Total Files Cleaned = 2.005,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 11152010_231524 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi Ccleaner ist abgeschlossen Logs kann ich gerade nicht Posten, da ich auf der Arbeit bin. Was mir aber sorgen bereitet ist das die Cofi. Exe seit 7 Std im Punkterstellen der logdatei steht u nichts mehr passiert. Was soll ich machen wenn das heute Mittag immer noch nicht fertig ist? MfG |
Nach dem mein Notbook nach über 7Std doch noch fetig geworden ist hier der Log: Combofix Logfile: Code: ComboFix 10-11-15.04 - XXX 15.11.2010 23:53:10.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Anbei die Logs Gmer hatte sich wie vermutet aufgehangen: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 7 Professional Windows Information: (build 7600), 32-bit Base Board Manufacturer: MEDION BIOS Manufacturer: American Megatrends Inc. System Manufacturer: MEDION System Product Name: E122X Logical Drives Mask: 0x0000005c Kernel Drivers (total 166): 0x81A02000 \SystemRoot\system32\ntkrnlpa.exe 0x81E12000 \SystemRoot\system32\halmacpi.dll 0x81985000 \SystemRoot\system32\kdcom.dll 0x87A0A000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x87A82000 \SystemRoot\system32\PSHED.dll 0x87A93000 \SystemRoot\system32\BOOTVID.dll 0x87A9B000 \SystemRoot\system32\CLFS.SYS 0x87ADD000 \SystemRoot\system32\CI.dll 0x87B88000 \SystemRoot\system32\drivers\Wdf01000.sys 0x87C04000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x87C12000 \SystemRoot\system32\DRIVERS\ACPI.sys 0x87C5A000 \SystemRoot\system32\DRIVERS\WMILIB.SYS 0x87C63000 \SystemRoot\system32\DRIVERS\msisadrv.sys 0x87C6B000 \SystemRoot\system32\DRIVERS\pci.sys 0x87C95000 \SystemRoot\system32\DRIVERS\vdrvroot.sys 0x87CA0000 \SystemRoot\System32\drivers\partmgr.sys 0x87CB1000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x87CB9000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x87CC4000 \SystemRoot\system32\DRIVERS\volmgr.sys 0x87CD4000 \SystemRoot\System32\drivers\volmgrx.sys 0x87D1F000 \SystemRoot\system32\DRIVERS\intelide.sys 0x87D26000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS 0x87D34000 \SystemRoot\System32\drivers\mountmgr.sys 0x87D4A000 \SystemRoot\system32\drivers\pavboot.sys 0x87D50000 \SystemRoot\system32\DRIVERS\atapi.sys 0x87D59000 \SystemRoot\system32\DRIVERS\ataport.SYS 0x87D7C000 \SystemRoot\system32\DRIVERS\amdxata.sys 0x87D85000 \SystemRoot\system32\drivers\fltmgr.sys 0x87DB9000 \SystemRoot\system32\drivers\fileinfo.sys 0x87E1C000 \SystemRoot\System32\Drivers\Ntfs.sys 0x87F4B000 \SystemRoot\System32\Drivers\msrpc.sys 0x87F76000 \SystemRoot\System32\Drivers\ksecdd.sys 0x87F89000 \SystemRoot\System32\Drivers\cng.sys 0x87FE6000 \SystemRoot\System32\drivers\pcw.sys 0x87FF4000 \SystemRoot\System32\Drivers\Fs_Rec.sys 0x8801D000 \SystemRoot\system32\drivers\ndis.sys 0x880D4000 \SystemRoot\system32\drivers\NETIO.SYS 0x88112000 \SystemRoot\System32\Drivers\ksecpkg.sys 0x88228000 \SystemRoot\System32\drivers\tcpip.sys 0x88371000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x883A2000 \SystemRoot\system32\DRIVERS\vmstorfl.sys 0x883AB000 \SystemRoot\system32\DRIVERS\volsnap.sys 0x883EA000 \SystemRoot\System32\Drivers\spldr.sys 0x88137000 \SystemRoot\System32\drivers\rdyboost.sys 0x88200000 \SystemRoot\System32\Drivers\mup.sys 0x88210000 \SystemRoot\System32\drivers\hwpolicy.sys 0x88164000 \SystemRoot\System32\DRIVERS\fvevol.sys 0x88196000 \SystemRoot\system32\DRIVERS\disk.sys 0x881A7000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS 0x881E6000 \SystemRoot\System32\Drivers\Null.SYS 0x881ED000 \SystemRoot\System32\Drivers\Beep.SYS 0x881F4000 \SystemRoot\System32\drivers\vga.sys 0x87DCA000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x88000000 \SystemRoot\System32\drivers\watchdog.sys 0x8800D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x88015000 \SystemRoot\system32\drivers\rdpencdd.sys 0x87E00000 \SystemRoot\system32\drivers\rdprefmp.sys 0x87E08000 \SystemRoot\System32\Drivers\Msfs.SYS 0x87DEB000 \SystemRoot\System32\Drivers\Npfs.SYS 0x8B400000 \SystemRoot\system32\DRIVERS\tdx.sys 0x8B417000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x8B422000 \SystemRoot\system32\drivers\afd.sys 0x8B47C000 \SystemRoot\System32\DRIVERS\netbt.sys 0x8B4AE000 \SystemRoot\system32\DRIVERS\wfplwf.sys 0x8B4B5000 \SystemRoot\system32\DRIVERS\pacer.sys 0x8B4D4000 \SystemRoot\system32\DRIVERS\vwififlt.sys 0x8B4E5000 \SystemRoot\system32\DRIVERS\netbios.sys 0x8B4F3000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x8B506000 \SystemRoot\system32\DRIVERS\termdd.sys 0x8B516000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0x8B51C000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x8B55D000 \SystemRoot\system32\drivers\nsiproxy.sys 0x8B567000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x8B571000 \SystemRoot\System32\drivers\discache.sys 0x8B57D000 \SystemRoot\system32\drivers\csc.sys 0x8B5E1000 \SystemRoot\System32\Drivers\dfsc.sys 0x8BA05000 \SystemRoot\system32\DRIVERS\blbdrive.sys 0x8BA13000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x8BA36000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x8BA57000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x8BE2E000 \SystemRoot\system32\DRIVERS\igdkmd32.sys 0x8C336000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8BA69000 \SystemRoot\System32\drivers\dxgmms1.sys 0x8BE00000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x8C3ED000 \SystemRoot\system32\DRIVERS\L1C62x86.sys 0x8BE1F000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0x8BAA2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8BAED000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x8BAFC000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x8BB14000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x8BB21000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x8BE2A000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x8BB2E000 \SystemRoot\system32\DRIVERS\ATKACPI.SYS 0x8BB36000 \SystemRoot\system32\DRIVERS\CompositeBus.sys 0x8BB43000 \SystemRoot\system32\DRIVERS\AgileVpn.sys 0x8BB55000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x8BB6D000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x8BB78000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x8BB9A000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x8BBB2000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x8BBC9000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x8BBE0000 \SystemRoot\system32\DRIVERS\rdpbus.sys 0x8BBEA000 \SystemRoot\system32\DRIVERS\swenum.sys 0x8CC00000 \SystemRoot\system32\DRIVERS\ks.sys 0x8CC34000 \SystemRoot\system32\DRIVERS\umbus.sys 0x8CC42000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x8CC86000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x8CC97000 \SystemRoot\system32\drivers\HdAudio.sys 0x8CCE7000 \SystemRoot\system32\drivers\portcls.sys 0x8CD16000 \SystemRoot\system32\drivers\drmk.sys 0x8CD2F000 \SystemRoot\System32\Drivers\crashdmp.sys 0x8CD3C000 \SystemRoot\System32\Drivers\dump_dumpata.sys 0x8CD47000 \SystemRoot\System32\Drivers\dump_atapi.sys 0x8CD50000 \SystemRoot\System32\Drivers\dump_dumpfve.sys 0x8CD61000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0x8CD78000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x8CD7A000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x8CD85000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x8CD98000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x8CD9F000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x8CDAA000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x8F6B0000 \SystemRoot\System32\win32k.sys 0x8CDC1000 \SystemRoot\System32\drivers\Dxapi.sys 0x8CDCB000 \SystemRoot\System32\Drivers\usbvideo.sys 0x8CDEF000 \SystemRoot\system32\drivers\btusbflt.sys 0x8BBEC000 \SystemRoot\System32\Drivers\BTHUSB.sys 0x80C1E000 \SystemRoot\System32\Drivers\bthport.sys 0x80C82000 \SystemRoot\system32\DRIVERS\monitor.sys 0x8F910000 \SystemRoot\System32\TSDDD.dll 0x8F940000 \SystemRoot\System32\cdd.dll 0x80C8D000 \SystemRoot\system32\DRIVERS\rfcomm.sys 0x80CB1000 \SystemRoot\system32\DRIVERS\BthEnum.sys 0x80CBE000 \SystemRoot\system32\DRIVERS\bthpan.sys 0x80CD9000 \SystemRoot\system32\DRIVERS\bthmodem.sys 0x80CEB000 \SystemRoot\system32\drivers\modem.sys 0x80CF8000 \SystemRoot\system32\DRIVERS\hidbth.sys 0x80D1F000 \SystemRoot\system32\drivers\luafv.sys 0x80D3A000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0x80D4F000 \SystemRoot\system32\drivers\WudfPf.sys 0x80D69000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x80D79000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x80DBF000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x80DCF000 \SystemRoot\system32\DRIVERS\rspndr.sys 0xA5E3A000 \SystemRoot\system32\drivers\HTTP.sys 0xA5EBF000 \SystemRoot\system32\DRIVERS\bowser.sys 0xA5ED8000 \SystemRoot\System32\drivers\mpsdrv.sys 0xA5EEA000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA5F0D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0xA5F48000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0xA5F63000 \SystemRoot\system32\drivers\peauth.sys 0xA5E00000 \SystemRoot\System32\Drivers\secdrv.SYS 0xA5E0A000 \SystemRoot\System32\DRIVERS\srvnet.sys 0xA5E2B000 \SystemRoot\System32\drivers\tcpipreg.sys 0xA883A000 \SystemRoot\System32\DRIVERS\srv2.sys 0xA8889000 \SystemRoot\System32\DRIVERS\srv.sys 0xA88DA000 \SystemRoot\System32\drivers\ipnat.sys 0xA8900000 \SystemRoot\System32\drivers\rdpdr.sys 0xA8925000 \SystemRoot\system32\drivers\tdtcp.sys 0xA892F000 \SystemRoot\System32\DRIVERS\tssecsrv.sys 0xA893C000 \SystemRoot\System32\Drivers\RDPWD.SYS 0xA89D7000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0xA89E0000 \??\C:\Users\XXX\AppData\Local\Temp\kxldypod.sys 0x774C0000 \Windows\System32\ntdll.dll 0x48540000 \Windows\System32\smss.exe 0x77700000 \Windows\System32\apisetschema.dll 0x00780000 \Windows\System32\autochk.exe Processes (total 61): 0 System Idle Process 4 System 264 C:\Windows\System32\smss.exe 360 csrss.exe 420 C:\Windows\System32\wininit.exe 436 csrss.exe 480 C:\Windows\System32\services.exe 508 C:\Windows\System32\lsass.exe 516 C:\Windows\System32\lsm.exe 548 C:\Windows\System32\winlogon.exe 660 C:\Windows\System32\svchost.exe 756 C:\Windows\System32\svchost.exe 880 C:\Windows\System32\svchost.exe 916 C:\Windows\System32\svchost.exe 944 C:\Windows\System32\svchost.exe 1112 C:\Windows\System32\svchost.exe 1324 C:\Windows\System32\svchost.exe 1444 C:\Windows\System32\spoolsv.exe 1476 C:\Program Files\Avira\AntiVir Desktop\sched.exe 1496 C:\Windows\System32\svchost.exe 1636 C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1672 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1712 C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe 1740 C:\Program Files\Bonjour\mDNSResponder.exe 1772 C:\Windows\System32\svchost.exe 1808 C:\Windows\System32\svchost.exe 1844 C:\Windows\System32\svchost.exe 1904 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 1912 C:\Windows\System32\conhost.exe 1956 C:\Windows\System32\svchost.exe 1996 C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe 2028 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 320 C:\Windows\System32\svchost.exe 412 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE 1000 C:\Program Files\DynDNS Updater\DynUpSvc.exe 504 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE 2440 C:\Windows\System32\alg.exe 2488 C:\Windows\System32\svchost.exe 2520 C:\Windows\System32\svchost.exe 2564 C:\Windows\System32\svchost.exe 3120 C:\Windows\System32\taskhost.exe 3196 C:\Windows\System32\dwm.exe 3208 C:\Windows\explorer.exe 3472 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 3488 C:\Windows\System32\hkcmd.exe 3516 C:\Windows\System32\igfxpers.exe 3524 C:\Program Files\iTunes\iTunesHelper.exe 3632 C:\Windows\System32\igfxsrvc.exe 3936 C:\Program Files\iPod\bin\iPodService.exe 4020 C:\Windows\System32\SearchIndexer.exe 2416 C:\Windows\System32\svchost.exe 604 C:\Program Files\Windows Media Player\wmpnetwk.exe 3132 C:\Windows\System32\svchost.exe 2940 C:\Program Files\Mozilla Firefox\firefox.exe 2576 C:\Windows\explorer.exe 1128 C:\Windows\System32\audiodg.exe 3796 C:\Windows\System32\SearchProtocolHost.exe 3380 C:\Windows\System32\SearchFilterHost.exe 2572 C:\Users\XXX\Desktop\MBRCheck.exe 1152 C:\Windows\System32\conhost.exe 1156 C:\Windows\System32\dllhost.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000007`d62a7600 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`06601800 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000032`78800000 (NTFS) \\.\G: --> \\.\PhysicalDrive1 at offset 0x00000000`00000000 (NTFS) PhysicalDrive0 Model Number: WDCWD2500BEVT-00A23T0, Rev: 01.01A01 PhysicalDrive1 Model Number: WDC WD3200BEVT-22ZCT0, Rev: Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 298 GB \\.\PhysicalDrive1 RE: Unknown MBR code SHA1: B9691FB06093B258561561BCEA24DD1A16E367BA Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! |
Ist Laufwerk G: eine reine Datenplatte bei dir? |
Hallo, Ja, Laufwerk G: ist meine Externe USB Festplatte 320GB(Daten Sicherung/ zum Datentransport), die bei den ganzen Tests auch immer angeschlossen war. |
Dann gehts i.O. - mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo anbei die Logs Superanti: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 11/19/2010 at 01:43 AM Application Version : 4.45.1000 Core Rules Database Version : 5882 Trace Rules Database Version: 3694 Scan type : Complete Scan Total Scan Time : 03:07:41 Memory items scanned : 393 Memory threats detected : 0 Registry items scanned : 10542 Registry threats detected : 0 File items scanned : 193093 File threats detected : 44 Adware.Tracking Cookie .doubleclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .xiti.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .im.banner.t-online.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tradedoubler.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tradedoubler.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tradedoubler.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tradedoubler.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] ad.zanox.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .zanox.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .zanox-affiliate.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .traffictrack.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .traffictrack.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .adfarm1.adition.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] ad4.adfarm1.adition.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] tracking.mlsat02.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] adfarm1.adition.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .traffictrack.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] ad2.adfarm1.adition.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tracking.quisma.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tracking.hannoversche.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] D:\Dokumente und Einstellungen\xxx\Cookies\xxx@2o7[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.yieldmanager[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.zanox[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@ads.treiber[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@adsrv.admediate[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@adx.chip[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@atdmt[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@bs.serving-sys[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@doubleclick[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@invitemedia[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@microsoftsto.112.2o7[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@microsoftwlmessengermkt.112.2o7[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@rotator.adjuggler[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@serving-sys[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@statcounter[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@www.active-tracking[1].txt Trojan.Agent/Gen-Koobface[Bonkers] G:\ARBEIT\DIPLOMARBEITEN\TC_DIPLOMAND\LINDSCHEID\ARBEIT\GBR\GBRS-AQCS\GBRS - AQCS\BERECHNUNGSPROGRAMME\DESOX AREA REV.2\DESOX AREA3\DESEFF\DESEFF.EXE Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5143 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 18.11.2010 21:43:13 mbam-log-2010-11-18 (21-43-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|) Durchsuchte Objekte: 336822 Laufzeit: 1 Stunde(n), 58 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Sieht ok aus eigentlich. Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board