Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Kazy.20967.14 eingefangen (https://www.trojaner-board.de/98405-tr-kazy-20967-14-eingefangen.html)

cbr1000 28.04.2011 15:47
TR/Kazy.20967.14 eingefangen
 
Hallo liebe Community,

ich habe den o.a Trojaner auf dem Rechner.

Malwarebyte lief durch

Die log Datei ist im Anhang.

Wie soll ich weiter verfahren

Im Voraus schon mal vielen Dank.

cbr1000 28.04.2011 17:00
Im Anhang die otl Log-Dateien

markusg 01.05.2011 10:36
poste mal bitte neue otl logs.

cbr1000 01.05.2011 11:43
Danke für die Antwort.

Im Anhang sind die logs

markusg 01.05.2011 15:05
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

cbr1000 01.05.2011 15:37
Hier ist das combofix log

Die Desktopsymbole sind wieder da

Combofix Logfile:
Code:
ComboFix 11-04-30.05 - user 01.05.2011  16:21:03.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.447.90 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user\Eigene Dateien\Downloads\ComboFix.exe
AV: Avira AntiVir PersonalEdition *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams.
ADS - explorer.exe: deleted 132 bytes in 1 streams.
ADS - win32k.sys: deleted 68 bytes in 1 streams.
ADS - netcfgx.dll: deleted 100 bytes in 1 streams.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\user\WINDOWS
c:\windows\system32\D.BAT
c:\windows\system32\NTVBSvcW.tlb
c:\windows\system32\R.BAT
c:\windows\system32\SOCKETX.DLL
c:\windows\system32\twain.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-04-01 bis 2011-05-01  ))))))))))))))))))))))))))))))
.
.
2011-05-01 12:29 . 2011-05-01 12:29        --------        d-----w-        c:\programme\NirSoft
2011-04-28 16:22 . 2011-04-28 16:22        --------        d-sh--w-        c:\dokumente und einstellungen\NetworkService\IETldCache
2011-04-28 16:21 . 2011-04-28 16:21        --------        d-sh--w-        c:\dokumente und einstellungen\user\IETldCache
2011-04-28 16:10 . 2011-04-28 16:13        --------        dc----w-        c:\windows\ie8
2011-04-28 15:53 . 2011-04-28 15:53        --------        d-----w-        c:\programme\7-Zip
2011-04-28 14:21 . 2011-04-28 14:21        --------        d-----w-        c:\dokumente und einstellungen\user\Anwendungsdaten\Malwarebytes
2011-04-28 14:20 . 2010-10-22 00:00        74240        ----a-w-        c:\windows\system32\fwlanci.org
2011-04-28 14:20 . 2011-04-28 14:20        --------        d-----w-        c:\programme\AVM_update
2011-04-28 14:15 . 2010-10-22 00:00        4352        ----a-w-        c:\windows\system32\drivers\avmeject.sys
2011-04-28 14:15 . 2011-04-28 14:20        --------        d-----w-        c:\programme\avmwlanstick
2011-04-28 14:15 . 2010-10-22 00:00        97360        ----a-w-        c:\windows\system32\drivers\Fwusb1b.bin
2011-04-28 14:15 . 2011-04-28 14:15        --------        d-----w-        c:\windows\AVM_Driver
2011-04-28 14:15 . 2010-10-22 00:00        74240        ----a-w-        c:\windows\system32\fwlanci.dll
2011-04-28 14:15 . 2010-10-22 00:00        265088        ----a-w-        c:\windows\system32\drivers\fwlanusb.sys
2011-04-28 14:15 . 2011-04-28 14:15        --------        d-----w-        c:\dokumente und einstellungen\user\AVM_Driver
2011-04-28 14:13 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-28 14:13 . 2011-04-28 14:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-28 14:13 . 2011-04-28 14:13        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-04-28 14:13 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-04-26 07:18 . 2011-04-26 07:18        311296        ----a-w-        c:\windows\system32\w32ifsql.dll
2011-04-26 07:17 . 2011-04-26 07:18        1417273        ----a-w-        c:\windows\system32\w32cgif.dll
2011-04-26 07:17 . 2011-04-26 07:17        73786        ----a-w-        c:\windows\system32\w32ifsys.ocx
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-14 16:40 . 2011-04-28 16:04        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMcfg"="smcfg.exe -s" [X]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-08-25 149280]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 77824]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"CHotkey"="mHotkey.exe" [2004-06-03 549376]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-17 12288]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-04-27 282624]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2010-10-22 2105344]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
.
c:\dokumente und einstellungen\user\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
PAListen.lnk - c:\eamed\DaSi\PAListen.exe [2007-8-7 69632]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-27 17:03        152872        ----a-w-        c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EOUApp]
2005-11-28 09:47        569413        ----a-w-        c:\programme\Intel\Wireless\Bin\EOUWiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-06-26 19:09        1211176        ----a-w-        c:\programme\Microsoft ActiveSync\wcescomm.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2005-03-17 15:01        40960        ----a-w-        c:\programme\ScanSoft\PaperPort\IndexSearch.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
2005-11-28 09:41        602182        ----a-w-        c:\programme\Intel\Wireless\Bin\iFrmewrk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelZeroConfig]
2005-12-05 10:37        667718        ----a-w-        c:\programme\Intel\Wireless\Bin\ZCfgSvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2007-06-28 07:14        270648        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2006-12-05 20:55        54832        ----a-w-        c:\programme\CyberLink\PowerDVD\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ledpointer]
2003-07-21 20:28        5577216        ----a-w-        c:\windows\CNYHKey.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2005-03-17 14:39        57393        ----a-w-        c:\programme\ScanSoft\PaperPort\pptd40nt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2007-04-27 07:41        282624        ----a-w-        c:\programme\QuickTime\qttask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2006-12-06 16:37        69216        ------w-        c:\programme\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2003-10-14 08:22        155648        ----a-r-        c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
2004-10-22 03:53        53248        ----a-r-        c:\windows\system32\VTTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
2004-12-10 18:17        143360        ----a-r-        c:\windows\system32\VTTrayp.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [26.03.2007 15:26 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [26.03.2007 15:26 52224]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [28.04.2011 16:15 265088]
R3 WB528MS;Winbond PCI Memory Stick PRO Storage (MSPRO) Device Driver;c:\windows\system32\drivers\wb528ms.sys [02.10.2006 18:07 38400]
R3 WB528SD;Winbond PCI Secure Digital Storage (SD/MMC) Device Driver;c:\windows\system32\drivers\WB528SD.sys [02.10.2006 18:07 35712]
S1 klmc;KLMC-Treiber;c:\windows\system32\drivers\klmc.sys --> c:\windows\system32\drivers\klmc.sys [?]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [28.04.2011 16:15 4352]
S3 GRABSTER250;Grabster AV 250;c:\windows\system32\drivers\GRABSTER250.SYS [10.10.2006 19:18 114432]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: {A9775FF8-8C2C-4CF3-8C1F-DE718014443A} = 212.18.0.1,212.18.0.5
FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\mia7psn9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Tbs - c:\winacs\TBS.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-05-01 16:30
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"
.
Zeit der Fertigstellung: 2011-05-01  16:34:41
ComboFix-quarantined-files.txt  2011-05-01 14:34
.
Vor Suchlauf: 13 Verzeichnis(se), 68.052.029.440 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 69.916.434.432 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 6BE92DDDB15D115341EF31D7274A101A
--- --- ---

markusg 01.05.2011 15:45
malwarebytes updaten, vollständiger scan, funde löschen log posten

cbr1000 01.05.2011 17:35
die log datei von malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6483

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

01.05.2011 18:34:21
mbam-log-2011-05-01 (18-34-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 229930
Laufzeit: 1 Stunde(n), 15 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\NirSoft\ProduKey\ProduKey.exe (PUP.PSWTool.ProductKey) -> Quarantined and deleted successfully.
c:\system volume information\_restore{ebfb61ef-8e9e-4c7e-b94c-b228586b0035}\RP775\A0182710.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

markusg 01.05.2011 17:45
wie läuft das system?

cbr1000 01.05.2011 17:59
Das System läuft stabil,

werde mal die neuesten windows update einspielen

markusg 01.05.2011 18:25
ok wenn du das hast, melde dich, wir sind noch nicht durch

cbr1000 02.05.2011 06:56
so, hat etwas gedauert, aber alle windows update sind drauf :)

markusg 02.05.2011 10:47
lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

cbr1000 02.05.2011 11:39
Im Anhang sind die installierten Programme.

Alle unwichtigen bis auf die im log genannten wurden bereits entfernt

markusg 02.05.2011 14:45
warum sind da viele nicht beschriftet?

cbr1000 02.05.2011 15:00
Sorry, ich habe jetzt alle beschriftet

markusg 02.05.2011 15:10
deinstaliere noch
iTunes
Windows Messenger
WinZip
WinRAR

cbr1000 02.05.2011 15:39
Ich habe die Programme deinstalliert

markusg 02.05.2011 15:57
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

cbr1000 02.05.2011 21:18
Hier das log von antivir:




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 2. Mai 2011 21:39

Es wird nach 2656787 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : user
Computername : THEKE

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 01.04.2011 15:07:08
AVSCAN.DLL : 10.0.3.0 56168 Bytes 01.04.2011 15:07:22
LUKE.DLL : 10.0.3.2 104296 Bytes 01.04.2011 15:07:16
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:15:11
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 14:15:12
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 19:22:45
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 19:22:45
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 19:22:45
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 19:22:45
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 19:22:45
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 19:22:45
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 19:22:45
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 19:22:45
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 19:22:45
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 19:22:45
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 19:22:46
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 19:22:46
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 19:22:46
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 19:22:46
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 19:22:47
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 19:22:47
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 19:22:48
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 19:22:48
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 19:22:49
VBASE022.VDF : 7.11.7.98 2048 Bytes 02.05.2011 19:22:49
VBASE023.VDF : 7.11.7.99 2048 Bytes 02.05.2011 19:22:49
VBASE024.VDF : 7.11.7.100 2048 Bytes 02.05.2011 19:22:49
VBASE025.VDF : 7.11.7.101 2048 Bytes 02.05.2011 19:22:49
VBASE026.VDF : 7.11.7.102 2048 Bytes 02.05.2011 19:22:49
VBASE027.VDF : 7.11.7.103 2048 Bytes 02.05.2011 19:22:49
VBASE028.VDF : 7.11.7.104 2048 Bytes 02.05.2011 19:22:49
VBASE029.VDF : 7.11.7.105 2048 Bytes 02.05.2011 19:22:49
VBASE030.VDF : 7.11.7.106 2048 Bytes 02.05.2011 19:22:49
VBASE031.VDF : 7.11.7.115 64512 Bytes 02.05.2011 19:22:49
Engineversion : 8.2.4.224
AEVDF.DLL : 8.1.2.1 106868 Bytes 28.03.2011 14:14:53
AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 02.05.2011 19:22:55
AESCN.DLL : 8.1.7.2 127349 Bytes 28.03.2011 14:14:53
AESBX.DLL : 8.1.3.2 254324 Bytes 28.03.2011 14:14:53
AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 10:21:38
AEPACK.DLL : 8.2.6.0 549237 Bytes 02.05.2011 19:22:54
AEOFFICE.DLL : 8.1.1.21 205179 Bytes 02.05.2011 19:22:53
AEHEUR.DLL : 8.1.2.112 3473784 Bytes 02.05.2011 19:22:53
AEHELP.DLL : 8.1.16.1 246134 Bytes 28.03.2011 14:14:46
AEGEN.DLL : 8.1.5.4 397684 Bytes 02.05.2011 19:22:50
AEEMU.DLL : 8.1.3.0 393589 Bytes 28.03.2011 14:14:45
AECORE.DLL : 8.1.20.2 196982 Bytes 02.05.2011 19:22:50
AEBB.DLL : 8.1.1.0 53618 Bytes 28.03.2011 14:14:44
AVWINLL.DLL : 10.0.0.0 19304 Bytes 28.03.2011 14:14:57
AVPREF.DLL : 10.0.0.0 44904 Bytes 01.04.2011 15:07:07
AVREP.DLL : 10.0.0.9 174120 Bytes 02.05.2011 19:22:55
AVREG.DLL : 10.0.3.2 53096 Bytes 01.04.2011 15:07:07
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 01.04.2011 15:07:08
AVARKT.DLL : 10.0.22.6 231784 Bytes 01.04.2011 15:07:04
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01.04.2011 15:07:06
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 28.03.2011 14:14:57
NETNT.DLL : 10.0.0.0 11624 Bytes 28.03.2011 14:15:04
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 01.04.2011 15:07:24
RCTEXT.DLL : 10.0.58.0 98152 Bytes 28.03.2011 14:15:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 9
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Montag, 2. Mai 2011 21:39

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smcfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1654' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\575bfae3-21776f40
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BC.10
--> advert/market_patch.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BC.10
--> search/market.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BO.1
--> search/parser.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BJ.3
--> search/searchers.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BK.3
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\575bfae3-21776f40
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BK.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b9b5ec.qua' verschoben!


Ende des Suchlaufs: Montag, 2. Mai 2011 22:16
Benötigte Zeit: 36:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6967 Verzeichnisse wurden überprüft
226612 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
226608 Dateien ohne Befall
1913 Archive wurden durchsucht
0 Warnungen
1 Hinweise
42635 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

markusg 03.05.2011 10:45
leere den java chache:
Löschen des Caches von Java Runtime Environment (JRE)
rechtsklick arbeitsplatz eigenschaften systemwiederherstellung.
auf allen laufwerken deaktivieren.
übernehmen ok.
5 minuten warten, wieder einschalten.
berichten wie das system läuft.

cbr1000 03.05.2011 12:20
cache gelöscht

Systemwiederherstellung deaktiviert und wieder aktiviert

System läuft stabil

markusg 03.05.2011 12:31
dann können wir falls du willst das system noch absichern.

cbr1000 03.05.2011 13:23
Gerne

Folgendes habe ich gemäß euer Anleitung bereits erledigt

neuestes XP, IE 8, automatische updates, benutzerkonto eingeschränkt, Firefox Add ons( noscript, adblockplus) installiert

Autorun deaktiviert,

markusg 03.05.2011 14:50
http://www.trojaner-board.de/96344-a...-rechners.html
dann benötigst du noch die update checker, backup programm und sandboxie.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
geht auch unter
c:\windows\sandboxie.ini
unter dem eintrag defauld box
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sandbox surfen bitte.
klicke jetzt immer auf sandboxed web browser.
eine sandbox ist vom system isoliert, trojaner können dort nicht ausbrechen und dank der einstellungen normalerweise nicht mal in der sandbox starten.
sie behindert dic aber nicht beim surfen etc und durch die quick recovery funktion bekommst du deine downloads auch einfach dort raus.
sie ist daher nützlich und heut zu tage, auf grund der menge an malware, finde ich, unverzichtbar.
eine sandbox, ist anders als ein av, nicht auf signaturen etc angewiesen.

cbr1000 04.05.2011 07:01
Ich möchte mich auf diesem Weg bei dir für die schnelle und sehr kompetente Hilfe bedanken :dankeschoen: :dankeschoen:

Ich werde die Maßnahmen auf allen meinen PC´s ( 8 Stück ) umsetzen und hoffe, dass in Zukunft keine Plagegeister mehr einfallen :daumenhoc

markusg 04.05.2011 10:26
wenns beim umsetzen irgendwelche probleme gibt, weist du wo du uns findest.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:32 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130