Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   braviax.exe geht nicht weg ;-( (https://www.trojaner-board.de/76481-braviax-exe-geht-weg.html)

john.doe 21.08.2009 17:53
Hattest du auch alle Laufwerke während des ComboFixlaufes angeschlossen? Waren die gecrypteten Festplatten zugänglich?

ciao, andreas

[e+dragon] 21.08.2009 18:55
ja. habe ich extra drauf geachtet. hab sogar vorher noch auf alle zugegriffen...

sven

john.doe 21.08.2009 19:49
Ich wollte nur sicher gehen. ;)

Wurde der USB-Stick an mehreren Rechner benutzt? Du musst davon ausgehen, das alle Rechner infiziert wurden.
Zitat:
NetBrute Scanner Security Suite
:eek: Was'n'das?
Zitat:
UltraVNC 1.0.5.6
Wozu wird das benutzt? Das ist total veraltet! Das Rocketdock-Gelumpe ist mir auch ein Dorn im Auge.

1.) Deinstalliere:
  • Adobe Reader 8.1.0 - Deutsch
  • Apple Software Update
  • Ask Toolbar
  • Crawler Toolbar with Web Security Guard
  • Java(TM) 6 Update 11
  • Java(TM) 6 Update 3
  • Mozilla Firefox (3.0.13)
  • Skype™ 3.6
  • Spyware Terminator
  • Windows Live Toolbar
2.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Driver::
soqwx32
JavaQuickStarterService
LightScribeService

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{24912a9f-2dec-11de-91ee-00235459f913}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e4ab380-2e81-11de-91f1-00224343ed7e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45444d91-ede9-11dd-9133-00224343ed7e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5151e45e-67bf-11dd-865e-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6938932c-54e7-11de-9248-002243b12177}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a29e5eaa-cb65-11dd-90b0-002243b12177}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4bf84e5-f103-11dd-913e-00224343ed7e}]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
"UpdatesDisableNotify"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

Folder::
C:\rsit
C:\Config.Msi
C:\Programme\Spyware Terminator
c:\programme\AskSearch
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator

File::
c:\dokumente und einstellungen\Concept21\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\install.txt
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Installiere (Toolbars immer abwählen, Haken weg):
ciao, andreas

[e+dragon] 21.08.2009 20:00
wird gemacht

ULTRA VNC ist ein remote programm,

ich das und rocketdock gleich mitrunter...

[e+dragon] 21.08.2009 21:14
Code:
ComboFix 09-08-20.07 - Chef 21/08/2009 22:00.2.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.579 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Chef\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Chef\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
"c:\dokumente und einstellungen\Chef\Anwendungsdaten\install.txt"
"c:\dokumente und einstellungen\Concept21\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
"c:\windows\tasks\Auf Updates für Windows Live Toolbar prüfen.job"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\Chef\Anwendungsdaten\install.txt
c:\dokumente und einstellungen\Concept21\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LIGHTSCRIBESERVICE
-------\Service_LightScribeService
-------\Service_soqwx32


(((((((((((((((((((((((  Dateien erstellt von 2009-07-21 bis 2009-08-21  ))))))))))))))))))))))))))))))
.

2010-08-13 15:15 . 2008-04-14 12:00        221184        ----a-w-        c:\windows\system32\wmpns.dll
2009-08-16 20:25 . 2009-08-16 20:25        --------        d-----w-        c:\dokumente und einstellungen\Chef\Anwendungsdaten\Malwarebytes
2009-08-16 20:25 . 2009-08-03 11:36        38160        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-16 20:25 . 2009-08-16 20:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-16 20:25 . 2009-08-16 20:25        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2009-08-16 20:25 . 2009-08-03 11:36        19096        ----a-w-        c:\windows\system32\drivers\mbam.sys
2009-08-16 20:00 . 2009-08-16 21:20        --------        d-----w-        c:\programme\Trend Micro
2009-08-14 19:07 . 2009-08-14 19:07        --------        d-----w-        c:\dokumente und einstellungen\Chef\dwhelper

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-21 19:29 . 2009-07-16 21:54        --------        d-----w-        c:\programme\UltraVNC
2009-08-21 19:28 . 2008-11-22 11:45        --------        d-----w-        c:\programme\RocketDock
2009-08-21 19:19 . 2008-08-11 17:22        --------        d-----w-        c:\programme\Java
2009-08-21 19:09 . 2008-08-11 16:52        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2009-08-21 19:03 . 2008-08-11 16:54        --------        d-----w-        c:\programme\Windows Live Toolbar
2009-08-21 11:34 . 2008-11-22 13:49        --------        d-----w-        c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3
2009-08-17 19:46 . 2009-01-05 22:59        2984        --sha-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-08-17 19:46 . 2009-01-05 22:59        2984        --sha-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-08-17 14:02 . 2009-02-24 22:36        --------        d-----w-        c:\programme\Password-Finder
2009-08-11 21:26 . 2008-12-04 22:01        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-08-05 22:19 . 2009-05-01 19:09        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 2008-08-11 14:04        206336        ----a-w-        c:\windows\system32\mswebdvd.dll
2009-07-28 19:33 . 2008-12-17 22:46        --------        d-----w-        c:\dokumente und einstellungen\Chef\Anwendungsdaten\skypePM
2009-07-17 19:01 . 2008-08-11 14:04        58880        ----a-w-        c:\windows\system32\atl.dll
2009-07-13 21:43 . 2008-08-11 14:04        286208        ----a-w-        c:\windows\system32\wmpdxm.dll
2009-07-09 11:35 . 2008-08-11 14:04        64820        ----a-w-        c:\windows\system32\perfc007.dat
2009-07-09 11:35 . 2008-08-11 14:04        394478        ----a-w-        c:\windows\system32\perfh007.dat
2009-06-26 16:49 . 2008-08-11 14:04        672256        ------w-        c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2008-08-11 14:04        81920        ----a-w-        c:\windows\system32\ieencode.dll
2009-06-25 20:44 . 2009-06-25 20:36        --------        d-----w-        c:\dokumente und einstellungen\Chef\Anwendungsdaten\Move Networks
2009-06-25 08:25 . 2008-08-11 14:04        54272        ----a-w-        c:\windows\system32\wdigest.dll
2009-06-25 08:25 . 2008-08-11 14:04        56832        ----a-w-        c:\windows\system32\secur32.dll
2009-06-25 08:25 . 2008-08-11 14:04        147456        ----a-w-        c:\windows\system32\schannel.dll
2009-06-25 08:25 . 2008-08-11 14:04        136192        ----a-w-        c:\windows\system32\msv1_0.dll
2009-06-25 08:25 . 2008-08-11 14:04        737792        ----a-w-        c:\windows\system32\lsasrv.dll
2009-06-25 08:25 . 2008-08-11 14:04        301568        ----a-w-        c:\windows\system32\kerberos.dll
2009-06-24 11:18 . 2008-08-11 14:04        92928        ----a-w-        c:\windows\system32\drivers\ksecdd.sys
2009-06-23 14:01 . 2009-06-23 14:01        50        ----a-w-        c:\windows\system32\bridf07a.dat
2009-06-23 14:01 . 2009-06-23 14:00        --------        d-----w-        c:\programme\Brother
2009-06-23 14:00 . 2008-08-11 15:59        --------        d--h--w-        c:\programme\InstallShield Installation Information
2009-06-23 14:00 . 2009-06-23 14:00        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Brother
2009-06-16 14:36 . 2008-08-11 14:04        119808        ----a-w-        c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2008-08-11 14:04        81920        ----a-w-        c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2008-08-11 14:04        78848        ----a-w-        c:\windows\system32\telnet.exe
2009-06-10 14:13 . 2008-08-11 14:04        85504        ----a-w-        c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-08-11 14:15        2066432        ----a-w-        c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2008-08-11 14:04        132096        ----a-w-        c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2008-08-11 14:04        1296896        ----a-w-        c:\windows\system32\quartz.dll
2008-05-07 14:34 . 2008-08-11 17:17        15523560        ----a-w-        c:\programme\U1 Setup.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IconOverlayHandlerAccessible]
@="{3DBF5F01-3287-46EB-82CF-45AA5C241162}"
[HKEY_CLASSES_ROOT\CLSID\{3DBF5F01-3287-46EB-82CF-45AA5C241162}]
2007-08-10 14:27        598016        ----a-w-        c:\windows\system32\PGPfsshl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"MMReminderService"="c:\programme\Mindjet\MindManager 6\MMReminderService.exe" [2005-09-13 28672]
"EPSON_UD_START"="c:\programme\EPSON Projector\EPSON USB Display V1.4\EMP_UD.exe" [2008-05-22 329632]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2008-09-03 335872]
"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-09-02 106496]
"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-09-02 593920]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-07-31 16806912]

c:\dokumente und einstellungen\Chef\Startmen\Programme\Autostart\
Verknpfung mit lol.lnk - c:\programme\UltraVNC\winvnc.exe [2009-7-16 1693128]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 217194]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-7-30 604776]
PGPtray.exe.lnk - c:\windows\Installer\{882025A7-7599-4989-8FCD-7604FB90D6A9}\Icon6560581611.exe [2008-12-13 55296]
SuperHybridEngine.lnk - c:\programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-9-17 311296]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages        REG_MULTI_SZ          scecli PGPpwflt

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Chef^Startmenü^Programme^Autostart^OneNote 2007 Screen Clipper and Launcher.lnk]
path=c:\dokumente und einstellungen\Chef\Startmenü\Programme\Autostart\OneNote 2007 Screen Clipper and Launcher.lnk
backup=c:\windows\pss\OneNote 2007 Screen Clipper and Launcher.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Chef^Startmenü^Programme^Autostart^OneNote Table Of Contents.onetoc2]
path=c:\dokumente und einstellungen\Chef\Startmenü\Programme\Autostart\OneNote Table Of Contents.onetoc2
backup=c:\windows\pss\OneNote Table Of Contents.onetoc2Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"d:\\Easy_Note_Taker\\Easy note taker.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800

R0 pgpfs;PGP File Sharing;c:\windows\system32\drivers\PGPfsfd.sys [10/08/2007 16:21 97792]
R0 PGPwded;PGPwded Storage Filter Service;c:\windows\system32\drivers\PGPwded.sys [10/08/2007 16:21 168960]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [01/05/2009 21:09 108289]
R2 EMP_UDSA;EMP_UDSA;c:\programme\EPSON Projector\EPSON USB Display V1.4\EMP_UDSA.exe [02/02/2009 13:57 94208]
R2 PGPdisk;PGPdisk;c:\windows\system32\drivers\PGPdisk.sys [10/08/2007 16:21 224256]
R2 PGPsdkDriver;PGPsdkDriver;c:\windows\system32\drivers\PGPsdk.sys [10/08/2007 16:21 33792]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [17/09/2008 18:17 10752]
R3 eppvad_simple;EPSON Projector UD Audio Device;c:\windows\system32\drivers\EMP_UDAU.sys [02/02/2009 13:57 17664]
R3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [11/08/2008 17:25 26112]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [02/01/2002 12:51 36864]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [13/08/2008 05:25 625024]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-RocketDock - c:\programme\RocketDock\RocketDock.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: c:\windows\system32\PGPlsp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-21 22:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\PGPpwflt.dll
c:\windows\system32\PGPwd.dll
c:\windows\system32\PGPsdk.dll
c:\windows\system32\pgpsdkm.dll

- - - - - - - > 'explorer.exe'(3200)
c:\windows\system32\PGPhk.dll
c:\windows\system32\PGPfsshl.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\windows\system32\PGPserv.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\programme\Brother\ControlCenter3\BrccMCtl.exe
c:\programme\PGP Corporation\PGP Desktop\PGPtray.exe
c:\programme\Brother\Brmfcmon\BrMfcMon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-21 22:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-21 20:11
ComboFix2.txt  2009-08-21 16:37

Vor Suchlauf: 6 Verzeichnis(se), 64,894,808,064 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 64,758,665,216 Bytes frei

204        --- E O F ---        2009-08-20 20:58

[e+dragon] 21.08.2009 21:15
ultra vnc und rockket dock habe ich auch mit deinstalliert.
alle peripherriegeräte waren angesteckt.

danke für deine bbemühungen.
mfg sven

john.doe 21.08.2009 21:42
Das CF-Log ist sauber. Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

1.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas

[e+dragon] 21.08.2009 22:03
anti vir macht keine meldungen. die anderen logs schick ich dir gleiche.

sven

[e+dragon] 21.08.2009 23:16
ok...
der scan von panda läuft immer noch (grade mal 20%) und er hat schon 11 funde.
lass den scan über nacht durchlaufen und schick dir dann morgen die ergebnisse

ciao sven

[e+dragon] 22.08.2009 09:00
hier das activescan log:
Code:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-08-22 09:57:49
PROTECTIONS: 1
MALWARE: 17
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                      Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              9.0.1.32                      Yes      No
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\Chef\Cookies\chef@doubleclick[2].txt
00139061  Cookie/Doubleclick                TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@doubleclick[2].txt
00139064  Cookie/Atlas DMT                  TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@atdmt[1].txt
00139064  Cookie/Atlas DMT                  TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[1].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@tradedoubler[1].txt
00145731  Cookie/Tribalfusion                TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@tribalfusion[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@ad.yieldmanager[2].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@adtech[1].txt
00184846  Cookie/Adrevolver                  TrackingCookie      No        0        Yes            No          C:\Dokumente und Einstellungen\Concept21\Cookies\concept21@adrevolver[2].txt
00462538  Bck/Powerspider.R                  Virus/Trojan        No        1        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP238\A0041808.dll
00590315  Rootkit/Agent.LNB                  HackTools          No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0041761.sys
02194639  Bck/Powerspider.R                  Virus/Trojan        No        1        Yes            No          C:\Programme\Password-Finder\PWFinder.exe
02466985  Adware/UltimateDefender            Adware              No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0040777.sys
02504376  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP238\A0041807.exe
02504376  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP221\A0038193.exe
02504376  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0040762.exe
02504376  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0040761.exe
02504376  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0039755.exe
02504376  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP236\A0039754.exe
02504376  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\WINDOWS\system32\hgdsakhaghjrkjlhkjghhdgljsghsrjlhrVIRUS.disc
02531509  Trj/BedeTres.AL                    Virus/Trojan        No        1        Yes            No          C:\WINDOWS\system32\dllcache\ntfs.sys
02531509  Trj/BedeTres.AL                    Virus/Trojan        No        1        Yes            No          C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ntfs.sys.vir
02531509  Trj/BedeTres.AL                    Virus/Trojan        No        1        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP241\A0044675.sys
02533054  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Temp\BN2C.tmp
02534213  Trj/BedeTres.R                    Virus/Trojan        No        1        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP233\A0039684.exe
02534213  Trj/BedeTres.R                    Virus/Trojan        No        1        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP233\A0039685.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038350.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038351.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038364.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038365.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038374.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038375.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038379.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038380.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038383.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038384.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038392.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038300.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038402.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038403.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038406.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038407.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038338.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038411.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038415.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038323.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039454.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039456.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039457.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039469.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039470.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039475.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP228\A0039476.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP229\A0039495.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP229\A0039496.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP230\A0039513.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP230\A0039514.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP230\A0039529.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP230\A0039530.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP232\A0039682.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038337.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038410.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038299.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038284.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038283.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038279.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038278.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038266.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038314.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038324.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038416.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038313.exe
02536052  Generic Trojan                    Virus/Trojan        No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP227\A0038393.exe
02885963  Rootkit/Booto.C                    Virus/Worm          No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP241\A0044683.sys
02885963  Rootkit/Booto.C                    Virus/Worm          No        0        Yes            No          C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP247\A0045513.sys
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              g
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity  Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                g
;===================================================================================================================================================================================
;===================================================================================================================================================================================

[e+dragon] 22.08.2009 09:02
ich habe die fehler aber nicht behoben... oder sollte ich?
hab ja die actrivescan seite noch offen. ist bei bedarf noch möglich.
jetz lass ich erstmal die prevex suchen.

danke
sven

[e+dragon] 22.08.2009 09:09
Liste der Anhänge anzeigen (Anzahl: 1)
im anhang der screen shot...

laut dem log von active scan könnte er doch aber alle viren entfernen, oder?
und aktiv sind sie dazu auch nicht...

ciao, sven

john.doe 22.08.2009 15:12
Der Screenshot von Prevx ist etwas arg klein und mit meinen alten Augen nicht mehr zu erkennen. Ich vermute allerdings, dass die gleiche Datei gefunden wurde, die auch Panda gefunden hat.

1.) Füttere ComboFix (cofi.exe) mit folgendem Script:
Code:
KILLALL::

File::
C:\WINDOWS\system32\hgdsakhaghjrkjlhkjghhdgljsghsrjlhrVIRUS.disc
C:\WINDOWS\system32\dllcache\ntfs.sys

Folder::
C:\Programme\Password-Finder
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

3.) Start => Ausführen => sfc /scannow => OK (Windows-CD bereithalten)

4.) Start => Ausführen => combofix /u => OK

5.) http://www.trojaner-board.de/59299-a...eb-cureit.html

ciao, andreas

[e+dragon] 22.08.2009 20:15
dr web ist fast fertig...
meine fr*sse das hat aber lange gedauert...
bis jetzt 2 infizierte dateien in der _desktop.ini (Laufwerk:G:\)
log schick ich dir gleich.

noch mal zu der analyse an sich. es gibt doch sicherlich methoden wie man aus dem log infizierte dateien erkennt. bei hijackthis ist das ganze ja in sektoren unterteilt. (das tut vom board ist da ja ausreichend für die eigenanalyse.) aber gibt es sowas auch für combofix, malewarebytes oder drweb. oder gibt es eine generelle erkennungs methode.
ich interessiere mich sehr dafür und hab hier zu hause bei den großeltern noch so den ein oder anderen infizierten rechner...
bin ja noch jung (14 XD) und hab zeit zum lernen. was würdest du mir empfehlen...

danke sven

john.doe 22.08.2009 20:22
Du bist genau der richtige Fall für Myrtille. :)

Lesen, lesen, lesen. Hier kannst du ja anfangen:
http://www.trojaner-board.de/75714-m...er-werden.html
http://www.trojaner-board.de/70547-l...ennotfall.html
http://www.trojaner-board.de/422248-post15.html

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:41 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132