Trojaner-Board - Windows Security Alert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows Security Alert (https://www.trojaner-board.de/94618-windows-security-alert.html)

Windows Security Alert

Hi, habe seit neustem ein Problem mit dem Windows Security Alert und hoffe auf baldige Hilfe, danke im vorraus schonmal

Hier die otl loggs
http://www.trojaner-board.de/attachm...1&d=1294592313

und Extras
http://www.trojaner-board.de/attachm...1&d=1294592323

Sorry fuer Fehler kenn mich kaum aus.

hmm das ging irgendwie nicht. klicke auf antworten, anhänge verwalten und dort die dateien auswählen und anhängen, dann auf antworten klicken

http://www.trojaner-board.de/attachm...1&d=1294594502

hxxp://www.trojaner-board.de/attachment.php?attachmentid=12348&stc=1&d=1294594506

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found
O4 - HKU\S-1-5-21-2422567127-2696694073-2521435845-1001..\Run: [nvfsitdv] C:\Users\KustoM\AppData\Local\Temp\bmnjwogih\wgumvarlajb.exe ()
O4 - HKU\S-1-5-21-2422567127-2696694073-2521435845-1001..\Run: [PlayNC Launcher] File not found

:Files
C:\Users\KustoM\AppData\Local\Temp\bmnjwogih
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[resethosts]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
vorher: öffne den internet explorer, extras, internet optionen, lan verbindung. unter proxy server lösche den eintrag und wähle dann keinen poxy verwenden.
übernehmen /ok.
öffne computer, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Sorry ,habe das mit Proxy nicht verstanden.

All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_USERS\S-1-5-21-2422567127-2696694073-2521435845-1001\Software\Microsoft\Windows\CurrentVersion\Run\\nvfsitdv deleted successfully.
C:\Users\KustoM\AppData\Local\Temp\bmnjwogih\wgumvarlajb.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-2422567127-2696694073-2521435845-1001\Software\Microsoft\Windows\CurrentVersion\Run\\PlayNC Launcher deleted successfully.
========== FILES ==========
C:\Users\KustoM\AppData\Local\Temp\bmnjwogih folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 56504 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: KustoM
->Flash cache emptied: 243255 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: KustoM
->Temp folder emptied: 2783259256 bytes
->Temporary Internet Files folder emptied: 578040450 bytes
->Java cache emptied: 5143534 bytes
->FireFox cache emptied: 55562098 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1564672 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 86525449 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 85096 bytes
RecycleBin emptied: 49746365502 bytes

Total Files Cleaned = 50.789,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.20.1 log created on 01092011_185527

Files\Folders moved on Reboot...
File move failed. C:\Users\KustoM\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

du öffnest:
internet explorer, extras, internet optionen.
dort klicke auf verbindung, lanverbindung.
dort siehst du nen eintrag proxy server und dort gibt es einen eintrag, den löschst du.
dann wählst du: keinen proxy server verwenden, klickst auf übernehmen, ok
dann weiter:
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Benutze ausschließlich Mozilla Firefox eigentlich.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5489

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.01.2011 20:12:37
mbam-log-2011-01-09 (20-12-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 373505
Laufzeit: 46 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\qni8hj710fdl (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\_OTL\movedfiles\01092011_185527\C_Users\KustoM\AppData\Local\Temp\bmnjwogih\wgumvarlajb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

hast du diese einstellung gemacht, falls nein tu es bitte.

Ja ,habe ich trotzdem gemacht

avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen

Die Dateien sind mir alle bekannt und ungefaehrlich oder waren dies..

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 9. Januar 2011 20:55

Es wird nach 2338575 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : KustoM
Computername : KUSTOM-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.609 Bytes 13.12.2010 09:29:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 13.12.2010 07:39:20
AVSCAN.DLL : 10.0.3.0 56168 Bytes 13.12.2010 07:39:37
LUKE.DLL : 10.0.3.2 104296 Bytes 13.12.2010 07:39:26
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 19:54:03
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 19:54:03
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 19:54:03
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 19:54:03
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 19:54:04
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 19:54:04
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 19:54:04
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 19:54:04
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 19:54:04
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 19:54:04
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 19:54:04
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 19:54:04
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 19:54:04
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 19:54:04
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 19:54:05
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 19:54:05
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 19:54:05
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 19:54:05
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 19:54:05
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 19:54:05
VBASE021.VDF : 7.11.1.38 2048 Bytes 07.01.2011 19:54:05
VBASE022.VDF : 7.11.1.39 2048 Bytes 07.01.2011 19:54:06
VBASE023.VDF : 7.11.1.40 2048 Bytes 07.01.2011 19:54:06
VBASE024.VDF : 7.11.1.41 2048 Bytes 07.01.2011 19:54:06
VBASE025.VDF : 7.11.1.42 2048 Bytes 07.01.2011 19:54:06
VBASE026.VDF : 7.11.1.43 2048 Bytes 07.01.2011 19:54:06
VBASE027.VDF : 7.11.1.44 2048 Bytes 07.01.2011 19:54:06
VBASE028.VDF : 7.11.1.45 2048 Bytes 07.01.2011 19:54:06
VBASE029.VDF : 7.11.1.46 2048 Bytes 07.01.2011 19:54:06
VBASE030.VDF : 7.11.1.47 2048 Bytes 07.01.2011 19:54:06
VBASE031.VDF : 7.11.1.58 93184 Bytes 09.01.2011 19:54:06
Engineversion : 8.2.4.140
AEVDF.DLL : 8.1.2.1 106868 Bytes 13.12.2010 07:39:16
AESCRIPT.DLL : 8.1.3.52 1282426 Bytes 09.01.2011 19:54:08
AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 07:39:16
AESBX.DLL : 8.1.3.2 254324 Bytes 13.12.2010 07:39:16
AERDL.DLL : 8.1.9.2 635252 Bytes 13.12.2010 07:39:16
AEPACK.DLL : 8.2.4.7 512375 Bytes 09.01.2011 19:54:08
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 13.12.2010 07:39:15
AEHEUR.DLL : 8.1.2.64 3154294 Bytes 09.01.2011 19:54:08
AEHELP.DLL : 8.1.16.0 246136 Bytes 13.12.2010 07:39:10
AEGEN.DLL : 8.1.5.1 397683 Bytes 09.01.2011 19:54:06
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 07:39:10
AECORE.DLL : 8.1.19.0 196984 Bytes 13.12.2010 07:39:10
AEBB.DLL : 8.1.1.0 53618 Bytes 13.12.2010 07:39:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:20
AVPREF.DLL : 10.0.0.0 44904 Bytes 13.12.2010 07:39:19
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:53
AVREG.DLL : 10.0.3.2 53096 Bytes 13.12.2010 07:39:19
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 13.12.2010 07:39:20
AVARKT.DLL : 10.0.22.6 231784 Bytes 13.12.2010 07:39:17
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 13.12.2010 07:39:18
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:20
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 13.12.2010 07:39:38

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, F:, G:, H:, D:, J:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sonntag, 9. Januar 2011 20:55

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'starter4g.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanlu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '122' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Program Files (x86)\L2RPGFAKE20X\system.zip
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Engine.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> l2.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
--> l2prot.dll
[FUND] Ist das Trojanische Pferd TR/Gendal.64000.BB
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Program Files (x86)\L2RPGFAKE20X\system.zip
[FUND] Ist das Trojanische Pferd TR/Gendal.64000.BB
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4850848c.qua' verschoben!

Ende des Suchlaufs: Sonntag, 9. Januar 2011 21:50
Benötigte Zeit: 55:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

26376 Verzeichnisse wurden überprüft
539633 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
539630 Dateien ohne Befall
2254 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Vielen dank fuer die kompetente Hilfe laeuft alles wieder wunderbar.Hab zum ersten mal eine positive Erfahrung mit der Internethilfe gemacht :]

hi, rechtsklick avira schirm, guard deaktivieren.
öffne avira, verwaltung, quarantäne. wähle die gelöschte datei von gestern, wiederherstellen in, desktop. lad die dann mal mit verdacht auf fehlalarm hoch:
Submit your sample
wenn das geklappt hatt, avira öffnen, quarantäne und die datei erst mal wieder dort rein.
die antwort bitte posten.