Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.ZPACK.Gen2 Trojan wurde von Avira gefunden c:\windows\system32\sshnaS21.dll (https://www.trojaner-board.de/97024-tr-crypt-zpack-gen2-trojan-wurde-avira-gefunden-c-windows-system32-sshnas21-dll.html)

FlorianS 31.03.2011 20:32
TR/Crypt.ZPACK.Gen2 Trojan wurde von Avira gefunden c:\windows\system32\sshnaS21.dll
 
Hallo,

Avira hat diesen Trojaner gefunden, nach einem kompletten Scan wurde dann noch weitere gefunden.

Kann mir jemand helfen?

In der Datei 'C:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\ncermxaosw.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Hier der Log von AVIRA:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 31. März 2011 18:12

Es wird nach 2545243 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : florians
Computername : PCFLORIANFLOCOM

Versionsinformationen:
BUILD.DAT : 10.0.0.635 31822 Bytes 07.03.2011 12:02:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 10.01.2011 13:22:56
AVSCAN.DLL : 10.0.3.0 56168 Bytes 10.01.2011 13:23:14
LUKE.DLL : 10.0.3.2 104296 Bytes 10.01.2011 13:23:03
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:23:11
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 19:32:49
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 19:32:53
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 19:32:55
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 19:32:57
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 19:32:59
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 19:33:01
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 19:33:04
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 19:33:06
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 19:33:08
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 19:33:11
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 19:33:13
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 02:22:32
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 02:22:30
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 02:22:31
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 02:22:32
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 18:51:11
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 18:51:13
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 18:51:14
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 18:51:09
VBASE021.VDF : 7.11.4.108 122880 Bytes 08.03.2011 18:51:14
VBASE022.VDF : 7.11.4.150 133120 Bytes 10.03.2011 18:51:16
VBASE023.VDF : 7.11.4.183 122368 Bytes 14.03.2011 18:53:26
VBASE024.VDF : 7.11.4.228 123392 Bytes 16.03.2011 18:51:12
VBASE025.VDF : 7.11.5.8 246272 Bytes 21.03.2011 15:25:29
VBASE026.VDF : 7.11.5.38 137216 Bytes 23.03.2011 15:25:30
VBASE027.VDF : 7.11.5.82 151552 Bytes 27.03.2011 10:33:37
VBASE028.VDF : 7.11.5.122 154112 Bytes 30.03.2011 10:33:37
VBASE029.VDF : 7.11.5.123 2048 Bytes 30.03.2011 10:33:37
VBASE030.VDF : 7.11.5.124 2048 Bytes 30.03.2011 10:33:37
VBASE031.VDF : 7.11.5.126 2048 Bytes 30.03.2011 10:33:37
Engineversion : 8.2.4.192
AEVDF.DLL : 8.1.2.1 106868 Bytes 10.01.2011 13:22:51
AESCRIPT.DLL : 8.1.3.57 1261947 Bytes 17.03.2011 18:54:25
AESCN.DLL : 8.1.7.2 127349 Bytes 10.01.2011 13:22:49
AESBX.DLL : 8.1.3.2 254324 Bytes 10.01.2011 13:22:49
AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 16:22:24
AEPACK.DLL : 8.2.4.13 524662 Bytes 25.03.2011 16:22:18
AEOFFICE.DLL : 8.1.1.18 205178 Bytes 25.03.2011 16:22:11
AEHEUR.DLL : 8.1.2.91 3387767 Bytes 25.03.2011 16:22:08
AEHELP.DLL : 8.1.16.1 246134 Bytes 08.02.2011 19:24:58
AEGEN.DLL : 8.1.5.3 397684 Bytes 17.03.2011 18:53:26
AEEMU.DLL : 8.1.3.0 393589 Bytes 10.01.2011 13:22:42
AECORE.DLL : 8.1.19.2 196983 Bytes 08.02.2011 19:24:57
AEBB.DLL : 8.1.1.0 53618 Bytes 10.01.2011 13:22:41
AVWINLL.DLL : 10.0.0.0 19304 Bytes 10.01.2011 13:22:56
AVPREF.DLL : 10.0.0.0 44904 Bytes 10.01.2011 13:22:55
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 13:26:53
AVREG.DLL : 10.0.3.2 53096 Bytes 10.01.2011 13:22:55
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 10.01.2011 13:22:56
AVARKT.DLL : 10.0.22.6 231784 Bytes 10.01.2011 13:22:51
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 10.01.2011 13:22:54
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 10.01.2011 13:22:56
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 10.01.2011 13:23:15

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: -DIAL,

Beginn des Suchlaufs: Donnerstag, 31. März 2011 18:12

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'userinit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hjemea.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hhl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXCEL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'profit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Act.Scheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Greenshot.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NkMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogMeInSystray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Act.Outlook.Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Scheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mysqld-nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogMeIn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaMaint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMIGuardianSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hasplms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCrashHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'crypserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Act.Scheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SR_Watchdog.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1809' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\florians\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\156e7223-643ec6a2
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Spy.70059
--> 323861664729123.exe
[FUND] Ist das Trojanische Pferd TR/Spy.70059
--> 59863205120124.exe
[FUND] Ist das Trojanische Pferd TR/Spy.70059
--> CustomClass.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I
--> dostuff.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.W
--> evilPolicy.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.SW
--> mosdef.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.WA
--> SiteError.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.B
--> xmo.ser
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A
C:\Dokumente und Einstellungen\florians\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\161f3f85-3acf7374
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I
--> CustomClass.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I
--> evilPolicy.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.SW
--> dostuff.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.W
--> mosdef.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.WA
--> SiteError.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.B
--> xmo.ser
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A
C:\Dokumente und Einstellungen\florians.ITS\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\156e7223-643ec6a2
[0] Archivtyp: ZIP
[FUND] Ist das Trojanische Pferd TR/Spy.70059
--> 323861664729123.exe
[FUND] Ist das Trojanische Pferd TR/Spy.70059
--> 59863205120124.exe
[FUND] Ist das Trojanische Pferd TR/Spy.70059
--> CustomClass.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I
--> dostuff.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.W
--> evilPolicy.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.SW
--> mosdef.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.WA
--> SiteError.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.B
--> xmo.ser
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A
C:\Dokumente und Einstellungen\florians.ITS\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\161f3f85-3acf7374
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I
--> CustomClass.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.I
--> evilPolicy.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.SW
--> dostuff.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.W
--> mosdef.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2008-5353.WA
--> SiteError.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.B
--> xmo.ser
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\florians.ITS\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\161f3f85-3acf7374
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\Dokumente und Einstellungen\florians.ITS\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\156e7223-643ec6a2
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\Dokumente und Einstellungen\florians\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\161f3f85-3acf7374
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '044616b6.qua' verschoben!
C:\Dokumente und Einstellungen\florians\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\156e7223-643ec6a2
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '627e5977.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 31. März 2011 20:26
Benötigte Zeit: 2:13:20 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

40345 Verzeichnisse wurden überprüft
1553696 Dateien wurden geprüft
28 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1553668 Dateien ohne Befall
25037 Archive wurden durchsucht
0 Warnungen
2 Hinweise

Hier auch der Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6228

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.03.2011 21:31:24
mbam-log-2011-03-31 (21-31-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 194760
Laufzeit: 6 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 14

Infizierte Speicherprozesse:
c:\WINDOWS\Hjemea.exe (Trojan.Downloader) -> 2392 -> Unloaded process successfully.

Infizierte Speichermodule:
c:\WINDOWS\mfetcdx.dll (Trojan.Hiloti.Gen) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Qcecadeb (Trojan.Hiloti.Gen) -> Value: Qcecadeb -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OUU6KC5WPX (Trojan.Downloader) -> Value: OUU6KC5WPX -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\1DF.tmp (Trojan.FakeAlert) -> Delete on reboot.
c:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\1E1.tmp (Trojan.FakeAlert) -> Delete on reboot.
c:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\1E6.tmp (Trojan.FakeAlert) -> Delete on reboot.
c:\WINDOWS\mfetcdx.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
c:\WINDOWS\Hjemea.exe (Trojan.Downloader) -> Delete on reboot.
c:\Dokumente und Einstellungen\florians.ITS\Lokale Einstellungen\Temp\Hhl.exe (Trojan.Downloader) -> Delete on reboot.
c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\1D8.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\1E3.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\axwcemorns.tmp (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\Hhj.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\florians.ITS\lokale einstellungen\Temp\Hhk.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\1DA.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\1DC.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\installer\MSI112.tmp (HackTool.Hiderun) -> Quarantined and deleted successfully.


Danke

florian

kira 31.03.2011 22:31
Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)
Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
  • per Doppelklick starten.
  • gleich mal die Datenbanken zu aktualisieren - online updaten
  • Vollständiger Suchlauf wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Anleitung

3.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

4.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

5.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

6.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131