Trojaner-Board
Seite 2 von 6 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows Vista Security Center: BNK.Win32.Keylogger.gen (https://www.trojaner-board.de/98485-windows-vista-security-center-bnk-win32-keylogger-gen.html)

Liberty 30.04.2011 19:47
Vielen Dank!! =) So, jetzt hab ich das alles gemacht. Bis auf das McAffee deinstallieren. Also kostenlos krieg ich das bestimmt nicht, hatte das nur am Anfang 3 Monate gratis als ich meinen Laptop gekauft hab. Allerdings mag ich diesen SiteAdvisor, weil der mir immer anzeigt ob eine Seite sehr unsicher ist. Geht dieses SiteAdvisor auch weg wenn ich das SecurityCenter deinstalliere? Und ist es sehr schlimm wenn ich Avira und das McAffee Security Center drauflasse?

markusg 30.04.2011 19:53
wenn ich mal auf der homepage schaue
McAfee SiteAdvisor Software ? Website Safety Ratings and Secure Search
ist das kostenlos, also kann man das auch ohne mcafee sec. scanner nutzen
außerdem, sollte man sich eh nicht zu sehr auf so was verlassen, da die ja nur sagen können, seite x war zum zeitpunkt des scans sicher.
das heißt aber nicht, dass die seite es jetzt noch ist

Liberty 30.04.2011 20:22
Ok, jetzt habe ich McAfee deinstalliert und das SiteAdvisor alleine runtergeladen. Ja, verstehe was du meinst. Ganz verlassen sollte man sich wirklich nicht darauf. Aber es hält mich wenigstens von manchen Seiten ab...bzw gibt es mir ein sichereres Gefühl; ich bin schon paranoid genug was das Internet anbelangt^^
Heißt das jetzt mein Laptop ist wieder ganz virenfrei und halbwegs sicher? =D

Liberty 30.04.2011 20:25
Wobei eine Frage hab ich noch. Jetzt hab ich unten in meiner Taskleiste immer so ein Zeichen "Geblockte Autostartprogramme", das alle paar Minuten aufscheint. Das hatte ich davor nicht. Soll ich das einfach ignorieren? Oder geblockte Programme ein/ausblenden oder ausführen?

markusg 01.05.2011 10:34
welche programme sind das?

Liberty 01.05.2011 11:17
Liste der Anhänge anzeigen (Anzahl: 1)
Also bei "Geblocktes Programm ausführen" nennt es mir Malwarebytes. Bei "Geblockte Autostartprogramme ein- bzw. ausblenden" kommt das Fenster Systemkonfiguration mit einer Liste von Programmen. Hab einen Snapshot angehängt.
Wobei jetzt kommt mir, ich musste ja für irgendein Programm die Einstellungen so verändern, dass alle Dateien und Programme sichtbar werden, auch die die nur zum Hochfahren benötigt werden und normalerweise nicht sichtbar sind. Vielleicht is das deshalb so?

markusg 01.05.2011 11:23
nein.
gehe mal auf systemstart unter start ausführen
msconfig
und nimm den haken bei malwarebytes raus.
starte mal neu

Liberty 01.05.2011 11:39
Tatsächlich, jetzt ist es wirklich weg. Vielen, vielen, vielen Dank, Markus, für deine Hilfe und Geduld, wirklich!!!! :)

markusg 01.05.2011 11:44
wir haben noch n paar kleinigkeiten.
aber das schaffen wir in ruhe bis heute später nachmittag.
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Liberty 01.05.2011 14:54
Alles klar =)

Die Version zum Herunterladen war anscheinend schon die aktuellste, deshalb hat der Updater nichts mehr gefunden.

Hier das Log von Avira:
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 01. Mai 2011  13:40

Es wird nach 2647739 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus    : Normal gebootet
Benutzername  : VAIO
Computername  : KHANDSUREN-PC

Versionsinformationen:
BUILD.DAT      : 10.0.0.648          Bytes  01.04.2011 18:23:00
AVSCAN.EXE    : 10.0.4.2      442024 Bytes  01.04.2011 15:07:08
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  01.04.2011 15:07:22
LUKE.DLL      : 10.0.3.2      104296 Bytes  01.04.2011 15:07:16
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 14:15:11
VBASE002.VDF  : 7.11.3.0    1950720 Bytes  09.02.2011 14:15:12
VBASE003.VDF  : 7.11.5.225  1980416 Bytes  07.04.2011 11:14:20
VBASE004.VDF  : 7.11.5.226      2048 Bytes  07.04.2011 11:14:20
VBASE005.VDF  : 7.11.5.227      2048 Bytes  07.04.2011 11:14:20
VBASE006.VDF  : 7.11.5.228      2048 Bytes  07.04.2011 11:14:20
VBASE007.VDF  : 7.11.5.229      2048 Bytes  07.04.2011 11:14:20
VBASE008.VDF  : 7.11.5.230      2048 Bytes  07.04.2011 11:14:20
VBASE009.VDF  : 7.11.5.231      2048 Bytes  07.04.2011 11:14:20
VBASE010.VDF  : 7.11.5.232      2048 Bytes  07.04.2011 11:14:20
VBASE011.VDF  : 7.11.5.233      2048 Bytes  07.04.2011 11:14:20
VBASE012.VDF  : 7.11.5.234      2048 Bytes  07.04.2011 11:14:20
VBASE013.VDF  : 7.11.6.28    158208 Bytes  11.04.2011 11:14:22
VBASE014.VDF  : 7.11.6.74    116224 Bytes  13.04.2011 11:14:22
VBASE015.VDF  : 7.11.6.113    137728 Bytes  14.04.2011 11:14:22
VBASE016.VDF  : 7.11.6.150    146944 Bytes  18.04.2011 11:14:23
VBASE017.VDF  : 7.11.6.192    138240 Bytes  20.04.2011 11:14:23
VBASE018.VDF  : 7.11.6.237    156160 Bytes  22.04.2011 11:14:25
VBASE019.VDF  : 7.11.7.45    427520 Bytes  27.04.2011 11:14:26
VBASE020.VDF  : 7.11.7.64    192000 Bytes  28.04.2011 11:14:26
VBASE021.VDF  : 7.11.7.65      2048 Bytes  28.04.2011 11:14:26
VBASE022.VDF  : 7.11.7.66      2048 Bytes  28.04.2011 11:14:26
VBASE023.VDF  : 7.11.7.67      2048 Bytes  28.04.2011 11:14:26
VBASE024.VDF  : 7.11.7.68      2048 Bytes  28.04.2011 11:14:26
VBASE025.VDF  : 7.11.7.69      2048 Bytes  28.04.2011 11:14:26
VBASE026.VDF  : 7.11.7.70      2048 Bytes  28.04.2011 11:14:26
VBASE027.VDF  : 7.11.7.71      2048 Bytes  28.04.2011 11:14:26
VBASE028.VDF  : 7.11.7.72      2048 Bytes  28.04.2011 11:14:27
VBASE029.VDF  : 7.11.7.73      2048 Bytes  28.04.2011 11:14:27
VBASE030.VDF  : 7.11.7.74      2048 Bytes  28.04.2011 11:14:27
VBASE031.VDF  : 7.11.7.93    115200 Bytes  01.05.2011 11:14:28
Engineversion  : 8.2.4.224
AEVDF.DLL      : 8.1.2.1      106868 Bytes  28.03.2011 14:14:53
AESCRIPT.DLL  : 8.1.3.59    1261947 Bytes  01.05.2011 11:14:34
AESCN.DLL      : 8.1.7.2      127349 Bytes  28.03.2011 14:14:53
AESBX.DLL      : 8.1.3.2      254324 Bytes  28.03.2011 14:14:53
AERDL.DLL      : 8.1.9.9      639347 Bytes  25.03.2011 10:21:38
AEPACK.DLL    : 8.2.6.0      549237 Bytes  01.05.2011 11:14:33
AEOFFICE.DLL  : 8.1.1.21      205179 Bytes  01.05.2011 11:14:33
AEHEUR.DLL    : 8.1.2.112    3473784 Bytes  01.05.2011 11:14:32
AEHELP.DLL    : 8.1.16.1      246134 Bytes  28.03.2011 14:14:46
AEGEN.DLL      : 8.1.5.4      397684 Bytes  01.05.2011 11:14:29
AEEMU.DLL      : 8.1.3.0      393589 Bytes  28.03.2011 14:14:45
AECORE.DLL    : 8.1.20.2      196982 Bytes  01.05.2011 11:14:28
AEBB.DLL      : 8.1.1.0        53618 Bytes  28.03.2011 14:14:44
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  28.03.2011 14:14:57
AVPREF.DLL    : 10.0.0.0      44904 Bytes  01.04.2011 15:07:07
AVREP.DLL      : 10.0.0.9      174120 Bytes  01.05.2011 11:14:35
AVREG.DLL      : 10.0.3.2      53096 Bytes  01.04.2011 15:07:07
AVSCPLR.DLL    : 10.0.4.2      84840 Bytes  01.04.2011 15:07:08
AVARKT.DLL    : 10.0.22.6    231784 Bytes  01.04.2011 15:07:04
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  01.04.2011 15:07:06
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  28.03.2011 14:14:57
NETNT.DLL      : 10.0.0.0      11624 Bytes  28.03.2011 14:15:04
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  01.04.2011 15:07:24
RCTEXT.DLL    : 10.0.58.0      98152 Bytes  28.03.2011 14:15:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 01. Mai 2011  13:40

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\program files\sony\vaio event service\activation.exe
c:\program files\sony\vaio event service\activation.exe
  [HINWEIS]  Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemeoUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InstantBackup.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemeoDashboard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NPSAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LANUtil.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UnlockerAssistant.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
    [INFO]      Im  Laufwerk 'D:\' ist kein Datenträger eingelegt!
Bootsektor 'E:\'
    [INFO]      Im  Laufwerk 'E:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1800' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\_OTL\MovedFiles.zip
[0] Archivtyp: ZIP
[FUND]      Ist das Trojanische Pferd TR/FakeAV.cuzu
  --> MovedFiles/04292011_205906/C_Users/VAIO/AppData/Local/jtg.exe
[FUND]      Ist das Trojanische Pferd TR/FakeAV.cuzu
  --> MovedFiles/04292011_205906/C_Users/VAIO/AppData/Local/shb.exe
[FUND]      Ist das Trojanische Pferd TR/FakeAV.cuzu
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles.zip
  [FUND]      Ist das Trojanische Pferd TR/FakeAV.cuzu
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a70c1a1.qua' verschoben!


Ende des Suchlaufs: Sonntag, 01. Mai 2011  15:48
Benötigte Zeit:  1:59:12 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  26295 Verzeichnisse wurden überprüft
 352574 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 352572 Dateien ohne Befall
  2648 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
  95534 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
Und soll ich Avira Desktop einschalten (wurde mir gerade vom Windows Sicherheitscenter angezeigt/empfohlen) oder is das schlecht?

markusg 01.05.2011 15:20
öffne mal otl klicke auf bereinigen, tool löscht sich nach neustart + quarantäne.

Liberty 01.05.2011 15:52
Gut, danke, habe mit otl bereinigt und neugestartet. Heißt das ich bin die Viren jetzt los? Ich fühl mich ja jetzt auch schon ziemlich schlecht mich weiter zu beschweren, aber Firefox braucht 2-3 Minuten um zu starten am Anfang. Liegt das an Firefox oder an meinem Computer?

markusg 01.05.2011 15:55
hatt firefox denn schon vor der infektion so lange gebraucht? hättest auch vllt scon mal früher sagen können
denn woher soll ich das denn bitteschön sonst wissen...

Liberty 01.05.2011 16:00
Nein, erst seit heute ist das so, dachte mir wenn ich neustarte gehts wieder. Aber wenn es nichts schlimmes sein kann, dann is es ok. Ich hab kein Problem damit, wenn ich ein bisschen warten muss.
Tut mir sehr leid, dass ich damit noch genervt hab jetzt. Und ich kanns gar nicht oft genug sagen, vielen Dank für deine Hilfe, ich meins ernst! Ich würde solche Viren alleine niemals wegkriegen können. Also danke, Markus!!!

markusg 01.05.2011 16:04
starte mal neu und schaue obs wieder geht


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:09 Uhr.
Seite 2 von 6 1 2 34 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58