Trojaner TR/ATRAPS.Gen eingefangen - Antivir und ich überfordert... Hallo, ich habe mir vermutlich gestern den Trojaner TR/ATRAPS.Gen eingefangen. Ich habe schon mal versucht mich schlau zu lesen, was da zu tun ist, aber aufgrund absoluter Minimalkenntnisse, befürchte ich, dass ich das alleine nicht in den Griff kriege. Beim Hochfahren heute habe ich 28 Meldungen von Antivir gekriegt, dass ich TR/ATRAPS.Gen im System habe und wenn ich mir die Liste der Ereignisse bei Antivir angucke, sind da weit über 1000 Meldungen "Malware" gefunden. Ich habe dann Antivir einmal komplett durchlaufen lassen (mit einigen Funden) woraufhin das Programm etwas von "Systemreparatur" gesagt hat. Anschließend sollte ich den Laptop neu hochfahren und es wurde eine erneute vollständige Systemüberprüfung gemacht, bei der dann nichts gefunden wurde. Nun, 3 Stunden später, lasse ich das Programm gerade erneut durchlaufen und es sind bereits 18 Versteckte Objekte gefunden worden. HILFE! Was tun? Ist mein Laptop zu retten? Vielen Dank im Voraus!! Hier auch noch mal die Logfiles des ersten sowie des zweiten Scans: 1. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 13. Juni 2011 15:05 Es wird nach 2757866 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : LISA-PC Versionsinformationen: BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00 AVSCAN.EXE : 10.0.4.2 442024 Bytes 29.04.2011 23:52:28 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 08.12.2010 12:06:32 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:20:52 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 19:00:03 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 17:52:54 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 07:05:56 VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 07:05:56 VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 07:05:56 VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 07:05:56 VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 07:05:56 VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 07:05:56 VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 07:05:56 VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 07:05:56 VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 07:05:56 VBASE013.VDF : 7.11.8.222 121856 Bytes 02.06.2011 08:12:35 VBASE014.VDF : 7.11.9.7 134656 Bytes 04.06.2011 15:36:48 VBASE015.VDF : 7.11.9.42 136192 Bytes 06.06.2011 20:23:23 VBASE016.VDF : 7.11.9.72 117248 Bytes 07.06.2011 20:23:23 VBASE017.VDF : 7.11.9.107 130560 Bytes 09.06.2011 20:23:23 VBASE018.VDF : 7.11.9.143 132096 Bytes 10.06.2011 12:22:14 VBASE019.VDF : 7.11.9.144 2048 Bytes 10.06.2011 12:22:14 VBASE020.VDF : 7.11.9.145 2048 Bytes 10.06.2011 12:22:14 VBASE021.VDF : 7.11.9.146 2048 Bytes 10.06.2011 12:22:14 VBASE022.VDF : 7.11.9.147 2048 Bytes 10.06.2011 12:22:14 VBASE023.VDF : 7.11.9.148 2048 Bytes 10.06.2011 12:22:14 VBASE024.VDF : 7.11.9.149 2048 Bytes 10.06.2011 12:22:14 VBASE025.VDF : 7.11.9.150 2048 Bytes 10.06.2011 12:22:14 VBASE026.VDF : 7.11.9.151 2048 Bytes 10.06.2011 12:22:14 VBASE027.VDF : 7.11.9.152 2048 Bytes 10.06.2011 12:22:14 VBASE028.VDF : 7.11.9.153 2048 Bytes 10.06.2011 12:22:14 VBASE029.VDF : 7.11.9.154 2048 Bytes 10.06.2011 12:22:14 VBASE030.VDF : 7.11.9.155 2048 Bytes 10.06.2011 12:22:14 VBASE031.VDF : 7.11.9.167 77312 Bytes 13.06.2011 12:22:14 Engineversion : 8.2.5.14 AEVDF.DLL : 8.1.2.1 106868 Bytes 16.09.2010 20:12:17 AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 01.06.2011 07:06:35 AESCN.DLL : 8.1.7.2 127349 Bytes 28.11.2010 10:30:50 AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 08:13:29 AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 12:55:04 AEPACK.DLL : 8.2.6.8 557430 Bytes 19.05.2011 21:28:08 AEOFFICE.DLL : 8.1.1.25 205178 Bytes 02.06.2011 08:13:24 AEHEUR.DLL : 8.1.2.125 3543415 Bytes 13.06.2011 12:22:17 AEHELP.DLL : 8.1.17.2 246135 Bytes 19.05.2011 21:28:07 AEGEN.DLL : 8.1.5.6 401780 Bytes 19.05.2011 21:28:06 AEEMU.DLL : 8.1.3.0 393589 Bytes 28.11.2010 10:30:40 AECORE.DLL : 8.1.21.1 196983 Bytes 01.06.2011 07:06:03 AEBB.DLL : 8.1.1.0 53618 Bytes 16.09.2010 20:12:11 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.10 174120 Bytes 19.05.2011 21:28:08 AVREG.DLL : 10.0.3.2 53096 Bytes 13.11.2010 16:14:59 AVSCPLR.DLL : 10.0.4.2 84840 Bytes 29.04.2011 23:52:28 AVARKT.DLL : 10.0.22.6 231784 Bytes 08.12.2010 12:06:31 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 13.11.2010 16:14:59 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Montag, 13. Juni 2011 15:05 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'SearchFilterHost.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '146' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Avira\AntiVir Desktop\avcenter.exe> [HINWEIS] Prozess 'avcenter.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '79' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Mozilla Firefox\plugin-container.exe> [HINWEIS] Prozess 'plugin-container.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'firefox.exe' - '114' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Mozilla Firefox\firefox.exe> [HINWEIS] Prozess 'firefox.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'TmProxy.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '78' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Skype\Plugin Manager\skypePM.exe> [HINWEIS] Prozess 'skypePM.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'wmpnetwk.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'CNTAoSMgr.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'BtStackServer.exe' - '80' Modul(e) wurden durchsucht Modul ist OK -> <c:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe> [HINWEIS] Prozess 'BTStackServer.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '29' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE> [HINWEIS] Prozess 'ONENOTEM.EXE' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'BTTray.exe' - '66' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe> [HINWEIS] Prozess 'BTTray.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'uTorrent.exe' - '76' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\uTorrent\uTorrent.exe> [HINWEIS] Prozess 'uTorrent.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'SearchIndexer.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '97' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Windows Sidebar\sidebar.exe> [HINWEIS] Prozess 'sidebar.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'Skype.exe' - '163' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Skype\Phone\Skype.exe> [WARNUNG] Der Prozess <Skype.exe> konnte nicht beendet werden. Mögliche Ursache: Systemfehler [87]: Falscher Parameter. Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'DDMService.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '78' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\DivX\DivX Update\DivXUpdate.exe> [HINWEIS] Prozess 'DivXUpdate.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'iTunesHelper.exe' - '80' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\iTunes\iTunesHelper.exe> [HINWEIS] Prozess 'iTunesHelper.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'avgnt.exe' - '70' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Avira\AntiVir Desktop\avgnt.exe> [HINWEIS] Prozess 'avgnt.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'GrooveMonitor.exe' - '51' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe> [HINWEIS] Prozess 'GrooveMonitor.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'PDVD9Serv.exe' - '34' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe> [HINWEIS] Prozess 'PDVD9Serv.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'PccNTMon.exe' - '57' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Trend Micro\Client Server Security Agent\PccNTMon.exe> [HINWEIS] Prozess 'PccNTMon.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'WebcamDell2.exe' - '50' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell2.exe> [HINWEIS] Prozess 'WebcamDell2.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'WLTRAY.EXE' - '76' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Dell\DW WLAN Card\WLTRAY.EXE> [HINWEIS] Prozess 'WLTRAY.EXE' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'FF_Protection.exe' - '30' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\STMicroelectronics\Accelerometer\FF_Protection.exe> [HINWEIS] Prozess 'FF_Protection.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'quickset.exe' - '56' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Dell\QuickSet\quickset.exe> [HINWEIS] Prozess 'quickset.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'igfxpers.exe' - '41' Modul(e) wurden durchsucht Modul ist OK -> <C:\Windows\System32\igfxpers.exe> [HINWEIS] Prozess 'igfxpers.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'hkcmd.exe' - '54' Modul(e) wurden durchsucht Modul ist OK -> <C:\Windows\System32\hkcmd.exe> [HINWEIS] Prozess 'hkcmd.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'igfxtray.exe' - '37' Modul(e) wurden durchsucht Modul ist OK -> <C:\Windows\System32\igfxtray.exe> [HINWEIS] Prozess 'igfxtray.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'sttray.exe' - '48' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\IDT\WDM\sttray.exe> [HINWEIS] Prozess 'sttray.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'SynTPEnh.exe' - '51' Modul(e) wurden durchsucht Modul ist OK -> <C:\Program Files\Synaptics\SynTP\SynTPEnh.exe> [HINWEIS] Prozess 'SynTPEnh.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen Durchsuche Prozess 'Explorer.EXE' - '207' Modul(e) wurden durchsucht Modul ist OK -> <C:\Windows\explorer.exe> [HINWEIS] Prozess 'explorer.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Gfesiyu> wurde erfolgreich entfernt. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59c79a5d.qua' verschoben! Durchsuche Prozess 'Dwm.exe' - '43' Modul(e) wurden durchsucht Modul ist OK -> <C:\Windows\System32\dwm.exe> [HINWEIS] Prozess 'dwm.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! Durchsuche Prozess 'taskhost.exe' - '61' Modul(e) wurden durchsucht Modul ist OK -> <C:\Windows\System32\taskhost.exe> [HINWEIS] Prozess 'taskhost.exe' wurde beendet Modul ist infiziert -> <C:\Users\Lisa\AppData\Local\ubawezanonulurup.dll> [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'TmPfw.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'HostedAgent.exe' - '102' Modul(e) wurden durchsucht Durchsuche Prozess 'tmlisten.exe' - '107' Modul(e) wurden durchsucht Durchsuche Prozess 'svcGenericHost.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'ntrtscan.exe' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'InstallFilterService.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'aestsrv.exe' - '8' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'bcmwltry.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'WLTRYSVC.EXE' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'STacSV.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '158' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '117' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Ende des Suchlaufs: Montag, 13. Juni 2011 15:25 Benötigte Zeit: 18:27 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 5195 Dateien wurden geprüft 28 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 5167 Dateien ohne Befall 0 Archive wurden durchsucht 1 Warnungen 30 Hinweise 503141 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden 2. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 13. Juni 2011 15:29 Es wird nach 2757866 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : LISA-PC Versionsinformationen: BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00 AVSCAN.EXE : 10.0.4.2 442024 Bytes 29.04.2011 23:52:28 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 08.12.2010 12:06:32 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:20:52 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 19:00:03 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 17:52:54 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 07:05:56 VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 07:05:56 VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 07:05:56 VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 07:05:56 VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 07:05:56 VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 07:05:56 VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 07:05:56 VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 07:05:56 VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 07:05:56 VBASE013.VDF : 7.11.8.222 121856 Bytes 02.06.2011 08:12:35 VBASE014.VDF : 7.11.9.7 134656 Bytes 04.06.2011 15:36:48 VBASE015.VDF : 7.11.9.42 136192 Bytes 06.06.2011 20:23:23 VBASE016.VDF : 7.11.9.72 117248 Bytes 07.06.2011 20:23:23 VBASE017.VDF : 7.11.9.107 130560 Bytes 09.06.2011 20:23:23 VBASE018.VDF : 7.11.9.143 132096 Bytes 10.06.2011 12:22:14 VBASE019.VDF : 7.11.9.144 2048 Bytes 10.06.2011 12:22:14 VBASE020.VDF : 7.11.9.145 2048 Bytes 10.06.2011 12:22:14 VBASE021.VDF : 7.11.9.146 2048 Bytes 10.06.2011 12:22:14 VBASE022.VDF : 7.11.9.147 2048 Bytes 10.06.2011 12:22:14 VBASE023.VDF : 7.11.9.148 2048 Bytes 10.06.2011 12:22:14 VBASE024.VDF : 7.11.9.149 2048 Bytes 10.06.2011 12:22:14 VBASE025.VDF : 7.11.9.150 2048 Bytes 10.06.2011 12:22:14 VBASE026.VDF : 7.11.9.151 2048 Bytes 10.06.2011 12:22:14 VBASE027.VDF : 7.11.9.152 2048 Bytes 10.06.2011 12:22:14 VBASE028.VDF : 7.11.9.153 2048 Bytes 10.06.2011 12:22:14 VBASE029.VDF : 7.11.9.154 2048 Bytes 10.06.2011 12:22:14 VBASE030.VDF : 7.11.9.155 2048 Bytes 10.06.2011 12:22:14 VBASE031.VDF : 7.11.9.167 77312 Bytes 13.06.2011 12:22:14 Engineversion : 8.2.5.14 AEVDF.DLL : 8.1.2.1 106868 Bytes 16.09.2010 20:12:17 AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 01.06.2011 07:06:35 AESCN.DLL : 8.1.7.2 127349 Bytes 28.11.2010 10:30:50 AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 08:13:29 AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 12:55:04 AEPACK.DLL : 8.2.6.8 557430 Bytes 19.05.2011 21:28:08 AEOFFICE.DLL : 8.1.1.25 205178 Bytes 02.06.2011 08:13:24 AEHEUR.DLL : 8.1.2.125 3543415 Bytes 13.06.2011 12:22:17 AEHELP.DLL : 8.1.17.2 246135 Bytes 19.05.2011 21:28:07 AEGEN.DLL : 8.1.5.6 401780 Bytes 19.05.2011 21:28:06 AEEMU.DLL : 8.1.3.0 393589 Bytes 28.11.2010 10:30:40 AECORE.DLL : 8.1.21.1 196983 Bytes 01.06.2011 07:06:03 AEBB.DLL : 8.1.1.0 53618 Bytes 16.09.2010 20:12:11 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.10 174120 Bytes 19.05.2011 21:28:08 AVREG.DLL : 10.0.3.2 53096 Bytes 13.11.2010 16:14:59 AVSCPLR.DLL : 10.0.4.2 84840 Bytes 29.04.2011 23:52:28 AVARKT.DLL : 10.0.22.6 231784 Bytes 08.12.2010 12:06:31 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 13.11.2010 16:14:59 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20110613-152605-29D763DD.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Montag, 13. Juni 2011 15:29 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\Trendmicro\PC-cillinNTCorp\CurrentVersion\Real Time Scan Configuration\Add PIDs\tmlisten [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'TrustedInstaller.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'UNS.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'sppsvc.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '104' Modul(e) wurden durchsucht Durchsuche Prozess 'TmProxy.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'CNTAoSMgr.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'BtStackServer.exe' - '76' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '113' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'uTorrent.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '90' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPHelper.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'DDMService.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'GrooveMonitor.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVD9Serv.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'TmPfw.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'PccNTMon.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'WebcamDell2.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'WLTRAY.EXE' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'FF_Protection.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'quickset.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'sttray.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '165' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'HostedAgent.exe' - '102' Modul(e) wurden durchsucht Durchsuche Prozess 'tmlisten.exe' - '107' Modul(e) wurden durchsucht Durchsuche Prozess 'svcGenericHost.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'ntrtscan.exe' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'LMS.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'InstallFilterService.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'aestsrv.exe' - '8' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '85' Modul(e) wurden durchsucht Durchsuche Prozess 'bcmwltry.exe' - '78' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'WLANExt.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'WLTRYSVC.EXE' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht Durchsuche Prozess 'STacSV.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '151' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '129' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '420' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <OS> Ende des Suchlaufs: Montag, 13. Juni 2011 16:14 Benötigte Zeit: 44:45 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 25188 Verzeichnisse wurden überprüft 486929 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 486929 Dateien ohne Befall 7975 Archive wurden durchsucht 0 Warnungen 1 Hinweise 510631 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL-Custom: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Hallo und vielen Dank für deine schnelle Antwort! Hier schon mal die Log-Datei von dem Scan mit Malwarebytes. Ich hab das Programm neu installiert, dahier ist dies auch die erste und einzige... Viele Grüße... PS: Oha, wenn man trojan.spyeyes googlet, wird einem ja ganz schlecht... Code: Malwarebytes' Anti-Malware 1.51.0.1200 |
Und hier das Ergebnis vom OTL-Scan. Es sind zwei Text-Datein aufgegangen, ich weiß nicht genau, welche du brauchst. Daher nun also beide... Vielen Dank schon mal! 1. Code: OTL logfile created on: 14.06.2011 22:58:17 - Run 1 Code: OTL Extras logfile created on: 14.06.2011 22:58:17 - Run 1 |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Hallo, folgendes Logfile öffnete sich, nach dem fixen. Neustart wurde nicht gefordert, das ganze hat nicht mal eine Sekunde gedauert. Klingt das richtig? Viele Grüße Code: ========== OTL ========== |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Alle Ordner sind noch sichtbar, insofern also keine Probleme. Hier das log: Code: 2011/06/15 22:46:39.0252 2272 TDSS rootkit removing tool 2.5.4.0 Jun 7 2011 17:31:48 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hi, nun habe ich leider ein kleines Problem. Ich habe combofix vorhin nach deinen Anweisungen gestartet und habe dann allerdings für 2-3 Stunden das Haus verlassen und den Laptop einfach laufen lassen (in der Annahme, es würde dann einfach durchlaufen). Der Rechner hatte sich dann in den Stand By-Modus geschaltet, als ich wiederkam. Das programm cofi.exe lief noch bzw. das Fenster war noch auf und in dem Programmfenster stand "logfile wird hergestellt" oder so ähnlich. Da passierte dann aber nichts groß weiter, sodass ich das Programm geschlossen und meinen PC dann neu gestartet habe (da ich auf dem Desktop auf nichts mehr zugreifen konnte...). Nun funktioniert wieder alles, aber ich finde das Logfile nicht, was ja vermutlich auch noch nicht hergestellt wurde. Kann ich das Programm einfach noch mal durchlaufen lassen bzw. gibt es eine Möglichkeit, das logfile noch zu erstellen? Ich hoffe, ich hab jetzt nicht alles verkompliziert... :-/ |
Stell uns bitte den Quarantäneordner von CF zur Verfügung. Bitte dabei so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht behindern! 2.) Ordner Quarantine in C:\Qoobox in eine Datei zippen 3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten |
Alles klar, mache ich heute Abend! Sorry für die möglicherweise dumme Zwischenfrage, aber ist es unproblematisch, Antivir zu deaktivieren während ich im Internet bin? |
Hallo Arne, ich habe soeben versucht, die Datei (mit ausgeschaltetem Antivir) hochzuladen, aber es hat nicht funktioniert...ich befürchte mal, weil die Datei zu groß ist. Selbst komprimiert hat sie nämlich noch über 200MB. Was tun? Sorry, dass ich alles kompliziert gemacht habe und vielen Dank für deine Hilfe, Lisa |
200 MB? Bist du sicher, dass du nur den movedfiles Ordner gezippt hast? Wie groß ist denn der Ordner? |
Den Quarantine-Ordner ja! Und der ist im Original 600MB groß...beim Zippen hab ich aber gesehen, dass auch eine Videodatei dabei war, vermutlich ist die der Übeltäter? |
Wiekommt dieses Video denn da rein? Lass es aus der ZIP raus und probier den Upload bitte nochmal. |
Ähm, ich weiß ehrlich gesagt nicht so richtig, wie ich das anstellen muss...das Video ist halt tief versteckt in dieser Ordner-Struktur. Wie kriege ich denn alles andere in die Zip-Datei und die große Datei eben nicht? :-/ |
Indem du das Video wonaders hin verschiebst vllt? Noch nie Dateioperationen ausgeführt? :D |
Ähäm...:o Ok, ist nun auf dem Weg! ... Edit: Oh mann, jetzt sagt er mir: "Die Dateien konnten nicht empfangen werden" Edit2: Also "er" ist = der UploadChannel |
Okay, ich weiß nicht, was ich jetzt anders gemacht habe, aber es hat nun funktioniert und meine Daten sollte auf dem UploadChannel liegen. |
Ok. Hast du das Log von CF noch? Sollte in C:\combofix.txt zu fnden sein oder in C:\Qoobox |
Edit: Okay, ich hab das Log gefunden. Allerdings komme ich gerade mit dem betreffenden Laptop nicht ins Internet, daher folgt es später. Ich musste nur trotzdem den Beitrag editieren, um weitere Verwirrung zu vermeiden... |
Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal. |
Ist es das? Code: ComboFix 11-06-15.02 - Lisa 15.06.2011 23:21:34.1.4 - x86 |
Log ist nicht vollständig. Oder stand da nicht mehr drin? Zitat:
|
Mehr stand nicht drin...aber wie gesagt, möglicherweise hab ich zu früh unterbrochen. Also doch noch mal cofi installieren? Und ja, Trendmicro ist noch installiert, aber deaktiviert. Trotzdem deinstallieren? |
Ja! Man darf Virenscanner wie Trendmicro und AntiVir nicht zusammen installiert haben. Nur wenige spezielle Scanner wie Malwarebytes und SASW vertragen sich nebeneinander installiert. Bitte deinstalliere einen der beiden und gib mir Bescheid. |
Trendmicro ist nun deinstalliert! |
Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und führ es bitte nochmal aus. |
So, nächster Versuch! Hier noch einmal das log von ComboFix: Code: ComboFix 11-06-21.06 - Lisa 22.06.2011 10:49:22.2.4 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne, entschuldige bitte, dass es so lange gedauert hat. Hier schon mal das GMER-Log, der Rest folgt. Code: GMER 1.0.15.15640 - hxxp://www.gmer.net |
Und das OSAM-Log: Code: Report of OSAM: Autorun Manager v5.0.11926.0 |
Und MBR-Check: Code: MBRCheck, version 1.2.3 |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Hier der Scan mit Anti-Malware: Code: Malwarebytes' Anti-Malware 1.51.0.1200 |
Und hier das log von SuperAntiSpyware. Er hat 26 "Tracking Cookies" gefunden, was auch immer das genau ist. Wenn ich mir die Dateien aber genauer angucke, müsste das eigentlich harmlos sein, die Homepage der Macromedia School kann doch nämlich eigentlich nicht so richtig schädlich sein... Sorry, dass es immer etwas dauert, der letzte Teil folgt morgen... Code: SUPERAntiSpyware Scan Log |
Cookies sind idR harmlos. Das letzte Log von ESET bräuchte ich noch. |
Genau, hier ist es auch nun. Schon wieder was gefunden, verdammt noch mal :/ Code: ESETSmartInstaller@High as downloader log: |
Nur ein Überrest bei ESET, kann weg. Rechner wieder im Lot? |
Ich hatte gehofft, das kannst du mir sagen :D Denn gemerkt habe ich ja die ganze Zeit nichts, nur der Scanner hat Alarm hoch hundert geschlagen...aber da die letzten Scans ja alle negativ waren, geh ich doch mal davon aus. Letzte (wahrscheinlich) dumme Frage: Wie krieg ich die infizierte Datei, die ESET gefunden hat, denn weg? Im Quarantäne-Ordner ist nichts... |
Einfach mal den JavaCache leeren, also diesen Ordner => C:\Users\Lisa\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\ Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo, nun bin ich's doch noch ein letztes Mal...leider kriege ich combofix nicht installiert. Wenn ich combofix / uninstall bei Ausführen eingebe, startet das Programm, aber deinstallieren kann ich leider nichts. Hast du da einen Tipp? Vielen lieben Dank!! |
Falsch: combofix / uninstall Richtig combofix /uninstall :D |
Hm, leider funktioniert aber auch combofix /uninstall nicht. Er sagt mir "cofi.exe konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen Sie den Vorgang" Selbiges habe ich sichergestellt und es tut sich aber immer noch nichts... :crazy: |
Dann lass CF so drauf, stören tut es nicht wirklich :D |
Alle Zeitangaben in WEZ +1. Es ist jetzt 14:32 Uhr. |
Copyright ©2000-2024, Trojaner-Board