|
Trojan Banker (kommt immer wieder) Guten Tag, um es vorweg zu nehmen: ich bin neu hier, und nicht das, was man eine PC-Expertin nennt :wtf: Ich habe folgendes Problem: vor ca. einer Woche hat Avira beim Scan erstmalig etwas gefunden, diese Meldung hatte ich damals: In der Datei 'C:\Users\Amore\AppData\Roaming\appconf32.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Banker.MultiBanker.aco' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Ich habe dann einen weiteren Scan mit Malwarebytes Antimalware gemacht, der dann diesen Trojaner in Quarantäne verschoben und gelöscht hat. Gestern hatte ich dann wieder beim Scan mit Malwarebytes Antimalware einen "Fund", der wieder gelöscht und in Quarantäne verschoben wurde. Ein erneuter Scan ergab dann nichts- heute morgen war er allerdings wieder da. Ich hänge hiermal die Logdatei (heißt das so?) an. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4483 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 10.11.2010 10:05:03 mbam-log-2010-11-10 (10-05-03).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 13774 Laufzeit: 1 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\linkrdr.aiebho (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\linkrdr.aiebho.1 (Trojan.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\Amore\AppData\Roaming\AcroIEHelpe022.dll (Trojan.Banker) -> Quarantined and deleted successfully. So, ich hoffe, mein Post ist jetzt einigermassen verständlich und an der richtigen Stelle... Danke schon mal im voraus! Sasou |
ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten. |
mach ich gleich, danke! |
So, hat ein bisschen gedauert, bis ich dazu kam, aber jetzt: OTL: OTL Logfile: Code: OTL logfile created on: 10.11.2010 20:01:27 - Run 2 |
Extras.Txt:OTL Logfile: Code: OTL logfile created on: 10.11.2010 20:01:27 - Run 2 |
• Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL PRC - C:\Users\Amore\AppData\Local\Temp\ose00000.exe (Microsoft Corporation) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found [2008.12.09 16:23:13 | 000,046,464 | RHS- | M] () -- C:\Users\Amore\AppData\Roaming\appconf32.exe :FILES :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten. öffne mein computer, c: dann _OTL rechtsklick auf moved files und zu moved .rar oder zip hinzufügen archiv zu uns hochladen. http://www.trojaner-board.de/54791-a...ner-board.html |
All processes killed ========== OTL ========== Process ose00000.exe killed successfully! Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found. C:\Users\Amore\AppData\Roaming\appconf32.exe moved successfully. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Amore ->Flash cache emptied: 62479 bytes User: Default ->Flash cache emptied: 56502 bytes User: Default User ->Flash cache emptied: 0 bytes User: Public Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Amore ->Temp folder emptied: 21376026 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->Java cache emptied: 3595756 bytes ->Google Chrome cache emptied: 8567247 bytes ->Flash cache emptied: 0 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 36025210 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 66,00 mb Error: Unable to interpret <[Reboot> in the current context! OTL by OldTimer - Version 3.2.17.3 log created on 11102010_203359 Files\Folders moved on Reboot... C:\Windows\temp\gis187e24\2.4.1487.6512\de\cires.dll.mui moved successfully. C:\Windows\temp\gis187e24\2.4.1487.6512\ci.dll moved successfully. C:\Windows\temp\gis187e24\2.4.1487.6512\cires.dll moved successfully. C:\Windows\temp\gis187e24\GoogleUpdater.exe moved successfully. Registry entries deleted on Reboot... Ist das gut oder schlecht? |
wo ist der upload? |
Ich dachte, ich hätte das hochgeladen- ist hier irgendwie nicht erschienen. Ich versuchs nochmal- oder erscheint der upload woanders? Ich habe aber den link zu meinem Post angegeben... |
hatt geklappt, danke. pc neustart bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Combofix Logfile: Code: ComboFix 10-11-09.03 - Amore 10.11.2010 21:25:06.1.2 - x86 |
poste einen gmer report http://www.trojaner-board.de/74908-a...t-scanner.html |
Ich habe das Programm heruntergeladen und da ich Windows 7 habe "als Admin ausführen" angeklickt. Dann auf "scan". Der Scan startet auch, nach ein paar Sekunden stürzt das Programm ab- und als ich es zum zweitenmal versucht habe- der ganze Rechner. Was soll ich machen? |
lösche das programm mal und lads von hier http://www.gmer.net/gmer.zip entpacken und gmer laufen lassen, mit rechtsklick als admin starten. |
Hab es grade versucht, es läuft ein bisschen länger, stürzt dann aber auch ab... |
lade den ccleaner slim: Piriform - Builds bitte öffnen, extras, liste der instalierten programme, als txt abspeichern. öffne diese txt. hinter, von dir benötigte programme, schreibe notwendig. hinter, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. poste die liste. damit finden wir unnötiges zeug, und programme die geupdatet werden müssen. |
Ich habe den CC Cleaner, Version v.3.00 1310- ist der ok? |
jo das ist ok |
Adobe AIR Adobe Systems Inc. 08.11.2010 2.5.0.16600 unbekannt Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 25.01.2010 10.0.22.87 benötigt Adobe Flash Player 10 Plugin Adobe Systems Incorporated 25.01.2010 10.0.22.87 unbekannt Adobe Reader 9.4.0 - Deutsch Adobe Systems Incorporated 04.11.2010 164,1MB 9.4.0 benötigt Adobe Shockwave Player 11 Adobe Systems, Inc. 25.01.2010 11 benötigt Avira AntiVir Personal - Free Antivirus Avira GmbH 08.11.2010 61,8MB 10.0.0.567 benötigt? AVS Update Manager 1.0 Online Media Technologies Ltd. 09.05.2010 benötigt AVS Video Converter 6 Online Media Technologies Ltd. 09.05.2010 benötigt CCleaner Piriform 08.11.2010 3.00 benötigt Compatibility Pack für 2007 Office System Microsoft Corporation 09.11.2010 124,5MB 12.0.6425.1000 benötigt CyberLink PhotoNow CyberLink Corp. 09.06.2009 21,8MB 1.1.5615 weiß nicht, was das ist, kann das für die Webcam sein? CyberLink PowerDirector CyberLink Corp. 09.06.2009 422MB 7.0.2625 s.o. CyberLink PowerDVD 8 CyberLink Corp. 09.12.2009 99,1MB 8.0.2606a s.o. CyberLink PowerProducer CyberLink Corp. 09.12.2009 311MB 5.0.1.1412 s.o. CyberLink YouCam CyberLink Corp. 09.12.2009 73,6MB 2.0.2521 s.o. DivX Plus Web Player DivX,Inc. 25.01.2010 2.0.0 benötigt Driver Updater Carambis 01.12.2009 1.1.0.0 unbekannt Google Chrome Google Inc. 19.12.2009 7.0.517.44 benötigt Google Earth Google 10.06.2009 25,3MB 4.3.7284.3916 benötigt Google Updater Google Inc. 25.01.2010 2.4.1487.6512 benötigt Intel® Matrix Storage Manager Intel Corporation 25.01.2010 unbekannt Java(TM) 6 Update 13 Sun Microsystems, Inc. 09.06.2009 97,0MB 6.0.130 nötig? Malwarebytes' Anti-Malware Malwarebytes Corporation 25.08.2010 8,51MB benötigt Microsoft .NET Framework 4 Client Profile Microsoft Corporation 26.06.2010 38,8MB 4.0.30319 unbekannt Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 26.06.2010 2,94MB 4.0.30319 unbekannt Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 09.12.2009 0,19MB 9.0.30729.4148 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 09.12.2009 0,58MB 9.0.30729 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 08.11.2010 0,58MB 9.0.30729.4148 unbekannt Mozilla Thunderbird (2.0.0.24) Mozilla 16.03.2010 2.0.0.24 (de) benötigt MSXML 4.0 SP2 (KB927978) Microsoft Corporation 09.06.2009 34,00KB 4.20.9841.0 unbekannt MSXML 4.0 SP2 (KB954430) Microsoft Corporation 09.06.2009 1,28MB 4.20.9870.0 unbekannt MSXML 4.0 SP2 (KB973688) Microsoft Corporation 03.12.2009 1,34MB 4.20.9876.0 unbekannt Nero 8 Essentials Nero AG 09.06.2009 1.890MB 8.3.124 benötigt Nokia Connectivity Cable Driver 10.07.2010 6.80.5.1 unnötig NVIDIA Drivers NVIDIA Corporation 25.01.2010 1.3 benötigt? PlayReady PC Runtime x86 Microsoft Corporation 26.01.2010 1,65MB 1.3.0 unbekannt Realtek 8136 8168 8169 Ethernet Driver Realtek 16.06.2009 1.00.0005 benötigt Realtek High Definition Audio Driver Realtek Semiconductor Corp. 25.01.2010 benötigt Realtek USB 2.0 Card Reader Realtek Semiconductor Corp. 09.06.2009 6.0.6000.20111 benötigt REALTEK Wireless LAN Driver REALTEK Semiconductor Corp. 09.06.2009 1.01.0092 benötigt Skype™ 4.2 Skype Technologies S.A. 03.10.2010 31,7MB 4.2.187 benötigt VLC media player 1.0.3 VideoLAN Team 25.01.2010 1.0.3 benötigt Windows Live ID-Anmelde-Assistent Microsoft Corporation 24.08.2010 5,52MB 6.500.3165.0 unnötigt Windows Media Player Firefox Plugin Microsoft Corp 16.03.2010 0,29MB 1.0.0.8 benötigt WinRAR 25.01.2010 benötigt Ich habe schon ein paar Sachen gelöscht und private Bilder etc. auf eine externe Festplatte gepackt, MS Office installier ich mir anschließend wieder... Ach ja, ich mache grade einen Scan mit malwarebytes, sieht bis jetzt gut aus, noch kein Fund... |
deinstaliere: Adobe AIR öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. bitte noch unnötige plugins verschieben: Adobe Reader schneller starten behalte aber: EScript.api Escript.deu Search.api Search.DEU deinstaliere: Driver Updater Java(TM) 6 Update 13 deinstalieren und updaten: Java SE Downloads - Sun Developer Network (SDN) Mozilla Thunderbird dringenst updaten! http://www.chip.de/downloads/Thunderbird_13009879.html deinstaliere: Nokia Connectivity Cable Driver gabs noch probleme mit dem pc? |
So, hab alles gemacht. Lediglich der Driver Updater (Carambis) läßt sich nicht deinstallieren. Ich bekomme immer die Meldung, dass er gerade in Betrieb ist. Der malwarebytes scan ist fertig- keine Funde. Heißt das, der PC ist jetzt "sauber"? |
noch nicht. avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
Tja, da hab ich mich wohl zu früh gefreut::headbang: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 12. November 2010 09:35 Es wird nach 3040644 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : Amore Computername : AMORE-PC Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 12.11.2010 08:33:40 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 18:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:09:26 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:45:23 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:38:19 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 21:08:09 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 08:33:40 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 08:33:40 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 08:33:40 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 08:33:40 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 08:33:40 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 08:33:40 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 08:33:40 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 08:33:40 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 08:33:40 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 08:33:40 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 08:33:40 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 08:33:40 VBASE017.VDF : 7.10.13.212 2048 Bytes 11.11.2010 08:33:40 VBASE018.VDF : 7.10.13.213 2048 Bytes 11.11.2010 08:33:40 VBASE019.VDF : 7.10.13.214 2048 Bytes 11.11.2010 08:33:40 VBASE020.VDF : 7.10.13.215 2048 Bytes 11.11.2010 08:33:40 VBASE021.VDF : 7.10.13.216 2048 Bytes 11.11.2010 08:33:40 VBASE022.VDF : 7.10.13.217 2048 Bytes 11.11.2010 08:33:40 VBASE023.VDF : 7.10.13.218 2048 Bytes 11.11.2010 08:33:40 VBASE024.VDF : 7.10.13.219 2048 Bytes 11.11.2010 08:33:40 VBASE025.VDF : 7.10.13.220 2048 Bytes 11.11.2010 08:33:40 VBASE026.VDF : 7.10.13.221 2048 Bytes 11.11.2010 08:33:40 VBASE027.VDF : 7.10.13.222 2048 Bytes 11.11.2010 08:33:40 VBASE028.VDF : 7.10.13.223 2048 Bytes 11.11.2010 08:33:40 VBASE029.VDF : 7.10.13.224 2048 Bytes 11.11.2010 08:33:40 VBASE030.VDF : 7.10.13.225 2048 Bytes 11.11.2010 08:33:40 VBASE031.VDF : 7.10.13.229 30720 Bytes 11.11.2010 08:33:40 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 12.11.2010 08:33:40 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 12.11.2010 08:33:40 AESCN.DLL : 8.1.6.1 127347 Bytes 12.11.2010 08:33:40 AESBX.DLL : 8.1.3.1 254324 Bytes 12.11.2010 08:33:40 AERDL.DLL : 8.1.9.2 635252 Bytes 12.11.2010 08:33:40 AEPACK.DLL : 8.2.3.11 471416 Bytes 12.11.2010 08:33:40 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 12.11.2010 08:33:40 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 12.11.2010 08:33:40 AEHELP.DLL : 8.1.14.0 246134 Bytes 12.11.2010 08:33:40 AEGEN.DLL : 8.1.3.24 401781 Bytes 12.11.2010 08:33:40 AEEMU.DLL : 8.1.2.0 393588 Bytes 12.11.2010 08:33:40 AECORE.DLL : 8.1.17.0 196982 Bytes 12.11.2010 08:33:40 AEBB.DLL : 8.1.1.0 53618 Bytes 12.11.2010 08:33:40 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 12.11.2010 08:33:40 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 12.11.2010 08:33:40 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 12:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 12.11.2010 08:33:40 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Freitag, 12. November 2010 09:35 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dupdater.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVD8Serv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Rezip.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reset.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '523' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\_OTL.rar [0] Archivtyp: RAR [FUND] Ist das Trojanische Pferd TR/Banker.MultiBanker.adu --> _OTL\MovedFiles\11102010_203359\C_Users\Amore\AppData\Roaming\appconf32.exe [FUND] Ist das Trojanische Pferd TR/Banker.MultiBanker.adu C:\_OTL\MovedFiles\11102010_203359\C_Users\Amore\AppData\Roaming\appconf32.exe [FUND] Ist das Trojanische Pferd TR/Banker.MultiBanker.adu Beginne mit der Suche in 'D:\' <RECOVER> Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Desinfektion: C:\_OTL\MovedFiles\11102010_203359\C_Users\Amore\AppData\Roaming\appconf32.exe [FUND] Ist das Trojanische Pferd TR/Banker.MultiBanker.adu [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c10a24a.qua' verschoben! C:\_OTL.rar [FUND] Ist das Trojanische Pferd TR/Banker.MultiBanker.adu [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54fb8dcc.qua' verschoben! Ende des Suchlaufs: Freitag, 12. November 2010 10:18 Benötigte Zeit: 30:06 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 18860 Verzeichnisse wurden überprüft 456954 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 456952 Dateien ohne Befall 5151 Archive wurden durchsucht 0 Warnungen 2 Hinweise |
nö, sind nur funde im otl verzeichniss. führe mal den eset online scan aus, log posten Free ESET Online Antivirus Scanner |
Ich habe den Scan gemacht- er ergab zwei Funde, und zwar zweimal der antimalware doctor. Ich bekam aber keinen Bericht wie bei den anderen, sondern das Programm hat die Dateien nur in Quarantäne verschoben und gelöscht. Jetzt scanne ich nochmal, in der Hoffnung, irgendwo den Bericht von vorhin zu finden... |
nicht noch mal scannen. schau mal unter c:\programme\eset dort sollte ne .txt oder .log datei mit dem bericht sein. |
Das ist ja das komische- eset ist eben NICHT da. Nur die Datei esetsmartinstaller_enu. Ich bekam auch nach dem scan die Meldung von meinem System, daß eset möglicherwweise nicht richtig installiert wurde. |
ok aber den fund hast du entfernt mit eset? |
Ja, habe ich- es war aber wieder was neues- den antimalwaredoctor hatte ich noch nicht. |
vllt hatten di nur ne andere bezeichnung für ne malware die wir schon entfernt hatten, probleme gibts keine mehr nehme ich an? |
Nein. Wenn wieder was kommt, melde ich mich nochmal. Bis dahin könnte ich noch ein zwei Tips brauchen, ob meine Antivirensoftware reicht und wie oft ich ggf. was anwenden sollte, so als "Expertenrat" :) Aber als erstes mal vielen vielen Dank für die tolle Hilfe- ich bin echt begeistert! |
- autostart aufräumen. die folgenden programme solltest du aus dem autostart nehmen, dann läuft der pc etwas schneller. start ausführen, msconfig enter systemstart, überall den haken raus außer bei avgnt. ok klicken, neustart, anhaken, meldung nicht mehr anzeigen. falls du was zurück haben willst in den autostart, übermsconfig anhaken. reinige mit otcleanit: http://oldtimer.geekstogo.com/OTM.exe Klicke cleanup! dein pc wird evtl. neu starten programm löscht sich selbst, + die verwendeten tools reinige mit dem ccleaner, dateien + registry. deaktiviere die systemwiederherstellung: Systemwiederherstellung deaktivieren - Windows 7 Tipps, Optimieren, Tricks auf allen laufwerken. dann warte 5 minuten, schalte sie wieder ein. die uac sollte auf maximum stehen. klicke auf start, ausführen (suchen) tippe uac enter nachfrage bestätigen, regler auf höchste stufe. so ist es schwiriger heimlich etwas auf dem pc zu instalieren. wenn man die uac meldungen auch liest. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen dieser tipp, gilt auch für windows 7 um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf google chrome beschrenken, bei Internetzugriff: chrome.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf chrome bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. endere alle passwörter. surfe nur noch in der sandbox, mit klick auf "sandboxed web browser" prüfe mal ob alle chrome funktionen laufen, hab diese konfig noch nie für diesen browser emacht, müsste aber passen. allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen. |
da habe ich jetzt erst mal was abzuarbeiten- vielen Dank! |
meld dich, obs geklappt hatt, bzw bei problemen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board