Trojaner-Board - Windows Diagnostic und Folgen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Diagnostic und Folgen (https://www.trojaner-board.de/96693-windows-diagnostic-folgen.html)

Windows Diagnostic und Folgen

Hallo!

Leider habe ich mir den "Windows-Diagnostic" eingefangen und mit Malwarebytes Anti-Malware zunächst "einigermaßen" wegbekommen, glaube ich. Aber leider kann ich nicht mehr auf meine persönlichen Dateien auf C zugreifen, weil der Ordner angeblich "leer" ist. Hab Bitdefender ausgiebig prüfen lassen und es kam raus, dass einige Dinge nicht entfernt bzw. desinfiziert werden konnten!

Wie werde ich jegliches Virenzeug von "Windows Diagnostic" wieder los?

Hier die Auswertung von Bitdefender:

BitDefender Protokolldatei

Produkt: BitDefender Antivirus 2009
Version: BitDefender UIScanner v.12
Prüfaufgabe: Tiefe Systemprüfung
Protokoll Datum: 22/03/2011 8:23:31
Protokoll Pfad: C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\deep_scan\1300778611_1_02.xml

PrüfpfadPfad 0000: C:\
Pfad 0001: D:\

PrüfoptionenAuf Viren prüfen: Ja
Auf Adware prüfen: Ja
Auf Spyware prüfen: Ja
Auf Anwendungen prüfen: Ja
Auf Dialer prüfen: Ja
Auf Rootkits prüfen: Ja

Optionen zur Zielauswahl:Registry-Schlüssel überprüfen: Ja
Cookies überprüfen: Ja
Boot-Sektoren überprüfen: Ja
Speicher-Prozesse überprüfen: Ja
Archive prüfen: Ja
Laufzeitkomprimierung prüfen: Ja
E-Mails prüfen: Nein
Alle Dateien überprüfen: Ja
Heuristische Prüfung: Ja
Geprüfte Erweiterungen:
Ausgeschlossene Erweiterungen:

Ablauf für Ziel:Standardaktion, die bei einem Virenfund angewendet wird: Desinfiziert
Standardaktion für verdächtige Objekte: Keine
Standardaktion bei versteckten Objekten: Keine
Standardaktion bei verschlüsselten infizierten Objekten: Keine
Standardaktion bei verschlüsselten verdächtigen Objekten: Keine
Standardaktion für passwortgeschützte Objekte: Als nicht geprüft protokollieren

Zusammenfassung der PrüfungAnzahl der Virensignaturen: 6929283
Archiv Plug-Ins: 47
E-Mail Plug-Ins: 6
Scan Plug-Ins: 14
System Plug-Ins: 5
Entpackungs-Plug-Ins: 10

Gesamtübersicht der PrüfungGeprüfte Objekte: 332399
Infizierte Objekte: 63
Verdächtige Objekte: 2
Geklärte Objekte: 62
Ungeklärte Objekte: 352
Passwortgeschützte Objekte: 349
Kennwortgeschützte Objekte : 0
Einzelne Viren gefunden: 2
Geprüfte Datenverzeichnisse: 22543
Geprüfte Boot-Sektoren: 4
Geprüfte Archive: 6801
Input-Output Fehler: 52
Prüfzeit: 02:14:21
Dateien pro Sekunde: 41

Zusammenfassung der geprüften ProzesseGeprüft: 49
Infiziert: 0

Überprüft die Systemregistrierung von WindowsGeprüft: 1722
Infiziert: 0

Übersicht der geprüften CookiesGeprüft: 37
Infiziert: 1

Verbleibende ProblemeObjekt Name Name der Bedrohung Abschluss Status
C:\Users\admin\Downloads\eXplorer.exe Gen:Win32.Malware.9mJfaq@JyohO Keine Aktion möglich
C:\Users\admin\Downloads\rkill.com Gen:Win32.Malware.9mJfaq@JyohO Keine Aktion möglich
C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4824acf3.qua=](Quarantine-8)=](JAVASCRIPT 2) Trojan.JS.Iframe.AED Löschen fehlgeschlagen (Datei befand sich in einem Archiv)

Gelöste ProblemeObjekt Name Name der Bedrohung Abschluss Status
[System]=]C:\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@doubleclick[1].txt Cookie.DoubleClick Gelöscht
C:\Windows\Temp\tmp00000a92\tmp00000d6e Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00000ee5\tmp0000002f Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00000ee5\tmp00001692 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00000b7a Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00000b82 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00000b84 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00000d7c Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00000d7e Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00000d80 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00000e7c Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00000e82 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00076fe4 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00076fe8 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00076fea Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00077184 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00077186 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00077188 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00077f3c Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp0013fb63 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp0013fb65 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp0013fb67 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp0013fb6a Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp0013fd6d Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp0013fd6f Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp0013fd71 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp0014033c Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00143aac Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00143ac8 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00143ebf Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00143ec1 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp000018b1\tmp00143ec3 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0006601c Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0006601e Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp00066020 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp000661e6 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp000661e8 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp000661ea Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp00066f16 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp00066f18 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0006719d Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0006719e Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp000685b2 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp000685b8 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp00068e71 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp000693c4 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp000695e5 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0006989d Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0006a4bc Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0006a5cf Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0006b1ff Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0006b209 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015b659 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015b65c Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015b65e Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015b801 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015b803 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015b807 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015fc52 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015fc54 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015fc56 Trojan.JS.Iframe.AED Gelöscht
C:\Windows\Temp\tmp00006173\tmp0015fc58 Trojan.JS.Iframe.AED Gelöscht

Zitat:

eingefangen und mit Malwarebytes Anti-Malware zunächst "einigermaßen" wegbekommen, glaube ich

Bitte alle Logs von MBAM posten!!

Bitdefender kann diesen Trojaner im ersten Log immer noch nicht unschädlich machen, weil er in einem Archiv ist. Das steht zumindest am Ende des Scans.

Wie kann ich sicher sein, dass ich jetzt keine Rootkits oder andere schädliche Trojaner von "Windows Diagnostic" mehr habe? Anti-Vir und Bitdefender melden mir nämlich immer mal wieder was von verschiedenen infizierten Fünden!

Habe aber auch MBAM nun eine Tiefenprüfung machen lassen:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6125

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22/03/2011 19:03:00
mbam-log-2011-03-22 (19-03-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 270273
Laufzeit: 2 Stunde(n), 28 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Setup\SCRIPTS\Setup\install.res.3082.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.

Bitdefender kann leider immer noch nicht diesen Trojaner "JS.Iframe.AED" unschädlich machen, weil "er in einem Archiv" ist. Das sagt die Tiefenprüfung.

Anti-Vir und Bitdefender melden mir nämlich immer mal wieder was von infizierten Fünden.
Wie kann ich sichergehen, dass keine Rootkits, Trojaner oder andere Viren von "Windows Diagnostic" noch drauf sind?

Hab jetzt aber auch eine Tiefenprüfung von MBAM machen lassen:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6125

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22/03/2011 19:03:00
mbam-log-2011-03-22 (19-03-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 270273
Laufzeit: 2 Stunde(n), 28 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Setup\SCRIPTS\Setup\install.res.3082.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hier die Logs in der Reihenfolge im Reiter von oben nach unten:

1)

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6125

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22/03/2011 0:53:02
mbam-log-2011-03-22 (00-53-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148114
Laufzeit: 13 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSFdrVXAOXpQ (Trojan.FakeAlert) -> Value: SSFdrVXAOXpQ -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\ssfdrvxaoxpq.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\admin\AppData\Local\Temp\1011105500001720o0rjoiboek\install.res.3082.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.

2)

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6125

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22/03/2011 16:06:12
mbam-log-2011-03-22 (16-06-12).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148480
Laufzeit: 9 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

3)

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6125

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22/03/2011 16:23:28
mbam-log-2011-03-22 (16-23-28).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148429
Laufzeit: 8 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

4)

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6125

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

22/03/2011 19:03:00
mbam-log-2011-03-22 (19-03-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 270273
Laufzeit: 2 Stunde(n), 28 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\Setup\SCRIPTS\Setup\install.res.3082.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.

Was soll ich jetzt am besten tun?

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Ok, hab das gemacht. Hab aber leider eine spanische Windows-Version und Dein Link zu OTL hat nur die spanische Version runtergeladen. Wie bekomme ich die deutsche bzw. englische Version? Wenn ich das google, dann bekomm ich auch nur die spanische. Nehme an, dass das automatisch an dem Systemprogramm eingestellt wird...

Ja so ist. Orientiere dich an diesem Screenshot:

http://www.trojaner-board.de/attachm...er-screen2.png