ein erneuter esetscan ergab nix. also..nix gefunden der erste esetscan hatte ja vier infizierte dateien aufgezeigt. heisst das nu ich bin das mistding los?

Kann sein aber ich denke da sind noch Reste vorhanden.

Mach mal damit einen Scan und poste das log: http://emsisoft.de/de/software/free/

a-squared Free - Version 4.5
Letztes Update: 28.03.2010 18:46:30

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\, G:\, H:\
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn: 28.03.2010 18:46:55

C:\Dokumente und Einstellungen\Maria\Cookies\maria@doubleclick[2].txt gefunden: Trace.TrackingCookie.doubleclick!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257333818890000 gefunden: Trace.TrackingCookie.doubleclick.net!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257356410234001 gefunden: Trace.TrackingCookie.ad.zanox.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257375902421000 gefunden: Trace.TrackingCookie.aol.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257506787156000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257586879187000 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257587738656003 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257591428578001 gefunden: Trace.TrackingCookie.s2.trafficmaxx.de!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257591428875000 gefunden: Trace.TrackingCookie.adserv!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257610815109000 gefunden: Trace.TrackingCookie.www.trafficrank.de!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257610822281001 gefunden: Trace.TrackingCookie.ad.zanox.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1257610822515000 gefunden: Trace.TrackingCookie.www.trafficrank.de!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1258033368463000 gefunden: Trace.TrackingCookie.de.sitestat.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1258235299968000 gefunden: Trace.TrackingCookie.wikia-ads.wikia.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1259072855562000 gefunden: Trace.TrackingCookie.media!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1259750144750000 gefunden: Trace.TrackingCookie.d1.openx.org!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1260457345125001 gefunden: Trace.TrackingCookie.eas.apm.emediate.eu!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1260457345125002 gefunden: Trace.TrackingCookie.eas.apm.emediate.eu!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1260457367734001 gefunden: Trace.TrackingCookie.eas.apm.emediate.eu!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1260888662796000 gefunden: Trace.TrackingCookie.adserv!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1261152608125003 gefunden: Trace.TrackingCookie.adserv!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1261153973125000 gefunden: Trace.TrackingCookie.rotator.adjuggler.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1261153973125001 gefunden: Trace.TrackingCookie.rotator.adjuggler.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1261158643937000 gefunden: Trace.TrackingCookie.ign.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1261216449046000 gefunden: Trace.TrackingCookie.ads.e-planning.net!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1261755379765000 gefunden: Trace.TrackingCookie.statse.webtrendslive!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1261755381562000 gefunden: Trace.TrackingCookie.server.iad.livepers!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1261755381718000 gefunden: Trace.TrackingCookie.server.iad.livepers!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1262363699875000 gefunden: Trace.TrackingCookie.ads.heias.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1263587530625000 gefunden: Trace.TrackingCookie.fl01.ct2.comclick!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1263587530625001 gefunden: Trace.TrackingCookie.fl01.ct2.comclick!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1265666290656003 gefunden: Trace.TrackingCookie.www.zanox-affiliate.de!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1266494204718000 gefunden: Trace.TrackingCookie.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1266494705343000 gefunden: Trace.TrackingCookie.adbrite.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1266494705343003 gefunden: Trace.TrackingCookie.adbrite.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1266494772187000 gefunden: Trace.TrackingCookie.m.webtrends.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1266763512891000 gefunden: Trace.TrackingCookie.track.effiliation.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1267540953406000 gefunden: Trace.TrackingCookie.casalemedia.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1267540953406001 gefunden: Trace.TrackingCookie.casalemedia.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1267540953406002 gefunden: Trace.TrackingCookie.casalemedia.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1267540953921003 gefunden: Trace.TrackingCookie.casalemedia.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1267540953921007 gefunden: Trace.TrackingCookie.casalemedia.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1267804840953000 gefunden: Trace.TrackingCookie.doubleclick.net!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1267804842000000 gefunden: Trace.TrackingCookie.tribalfusion.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1267982854781000 gefunden: Trace.TrackingCookie.www.googleadservices.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1267983111375000 gefunden: Trace.TrackingCookie.www.googleadservices.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1268661216671000 gefunden: Trace.TrackingCookie.de.sitestat.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1268682503843002 gefunden: Trace.TrackingCookie.ad.profiwin.de!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1268682504546000 gefunden: Trace.TrackingCookie.ad.adition.net!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1268682504546001 gefunden: Trace.TrackingCookie.ad.adition.net!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1268933533859000 gefunden: Trace.TrackingCookie.lycos.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1269087521984001 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1269533315828000 gefunden: Trace.TrackingCookie.de.sitestat.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1269763557953000 gefunden: Trace.TrackingCookie.adserv!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1269763558812005 gefunden: Trace.TrackingCookie.adserv!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1269777894453000 gefunden: Trace.TrackingCookie.eas.apm.emediate.eu!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1269781395953001 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Maria\Anwendungsdaten\Mozilla\Firefox\Profiles\fjfiiaka.default\cookies.sqlite:1269781395953002 gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
D:\System Volume Information\_restore{07000A0B-11DC-4737-BF7F-F4F2B214F79D}\RP273\A0096216.exe/cd_install_247.exe gefunden: Application.Cydoor!IK
D:\System Volume Information\_restore{07000A0B-11DC-4737-BF7F-F4F2B214F79D}\RP273\A0096581.exe gefunden: Trojan.Crypt!IK

Gescannt

Dateien: 275101
Traces: 671511
Cookies: 1703
Prozesse: 30

Gefunden

Dateien: 2
Traces: 0
Cookies: 68
Prozesse: 0
Registry Keys: 0

Scan Ende: 28.03.2010 20:01:36
Scan Zeit: 1:14:41

D:\System Volume Information\_restore{07000A0B-11DC-4737-BF7F-F4F2B214F79D}\RP273\A0096581.exe Quarantäne Trojan.Crypt!IK
D:\System Volume Information\_restore{07000A0B-11DC-4737-BF7F-F4F2B214F79D}\RP273\A0096216.exe/cd_install_247.exe Quarantäne Application.Cydoor!IK

Quarantäne

Dateien: 2
Traces: 0
Cookies: 0




ach manno... sind das nun "neue" trojaner oder reste von den alten?
dachte antivir is ne nette software und beschützt ganz gut...aber wenn das jetzt neue sind die vorher nicht gefunden wurden, verlier ich langsam den glauben an antivir -.-

Die beiden hier könnten der Ursprung sein:

Zitat:

D:\System Volume Information\_restore{07000A0B-11DC-4737-BF7F-F4F2B214F79D}\RP273\A0096216.exe/cd_install_247.exe gefunden: Application.Cydoor!IK
D:\System Volume Information\_restore{07000A0B-11DC-4737-BF7F-F4F2B214F79D}\RP273\A0096581.exe gefunden: Trojan.Crypt!IK

Appropos. Weisst du woher du das Ding hast?
Das wäre ungemein hilfreich weil du dir da was ganz neues eingefangen hast...

Kannst mir die Info auch gerne per PN schreiben.

nicht wirklich -.- ich bin halt dau aber dachte eigentlich schon drauf zu achten, nicht auf alles und jedes draufzuklicken. ich besuch keine zwielichtigen seiten, gibt halt einige foren die ich oft besuche aber das sind foren zu einem online-spiel. ansonsten meinvz, facebook, flickr...ich gehe stark davon aus, dass die links die du mir heute gegeben hast, sicher sind...
mit "neu" meinst du noch nicht registrierte viren/trojaner/mistbiester/whatever?

Zitat:

mit "neu" meinst du noch nicht registrierte viren/trojaner/mistbiester/whatever?

gnau. Daher gestalltet sich die Entfernung so mühsam.

GMER - Rootkit Detection

• Lade GMER von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
• Doppelklicke die zufälligerDateiname.exe
• Der Reiter Rootkit oben ist schon angewählt

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier posten

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-03-28 22:16:49
Windows 5.1.2600 Service Pack 3
Running: 9l6imp9o.exe; Driver: E:\TEMP\kxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT B876BE96 ZwCreateKey
SSDT B876BE8C ZwCreateThread
SSDT B876BE9B ZwDeleteKey
SSDT B876BEA5 ZwDeleteValueKey
SSDT B876BEAA ZwLoadKey
SSDT B876BE78 ZwOpenProcess
SSDT B876BE7D ZwOpenThread
SSDT B876BEB4 ZwReplaceKey
SSDT B876BEAF ZwRestoreKey
SSDT B876BEA0 ZwSetValueKey
SSDT \??\E:\SASKUTIL.SYS ZwTerminateProcess [0xAF96D320]

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB3407380, 0x5414D5, 0xE8000020]
init C:\WINDOWS\system32\drivers\monfilt.sys entry point in "init" section [0xB0F27280]
? E:\SASKUTIL.SYS Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text E:\Firefox\firefox.exe[1624] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 E:\Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text E:\Winamp\winamp.exe[3016] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 0268B6F6 E:\Winamp\Plugins\gen_jumpex.dll
.text E:\Winamp\winamp.exe[3016] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 0268B67E E:\Winamp\Plugins\gen_jumpex.dll
.text E:\Winamp\winamp.exe[3016] USER32.dll!ShowScrollBar 7E37F2F2 5 Bytes JMP 0268B77A E:\Winamp\Plugins\gen_jumpex.dll
.text E:\Winamp\winamp.exe[3016] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 0268B6A6 E:\Winamp\Plugins\gen_jumpex.dll
.text E:\Winamp\winamp.exe[3016] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 0268B721 E:\Winamp\Plugins\gen_jumpex.dll
.text E:\Winamp\winamp.exe[3016] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 0268B6CB E:\Winamp\Plugins\gen_jumpex.dll
.text E:\Winamp\winamp.exe[3016] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 0268B74C E:\Winamp\Plugins\gen_jumpex.dll
.text E:\Winamp\winamp.exe[3016] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 0268B656 E:\Winamp\Plugins\gen_jumpex.dll
.text E:\a-squared Free\a2service.exe[3608] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045495D E:\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
---- Processes - GMER 1.0.15 ----

Library E:\SASSEH.DLL (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1980] 0x00970000

---- EOF - GMER 1.0.15 ----

Zitat:

Zitat von undoreal

Appropos. Weisst du woher du das Ding hast?
Das wäre ungemein hilfreich weil du dir da was ganz neues eingefangen hast...

Kannst mir die Info auch gerne per PN schreiben.

Tut mir leid das ich hier dazwischen funke aber ich kann diese Frage beantworten.

Es ist einfacher wenn ich dies als Ablauf schreibe.

PC angemacht. Bei mir läuft keine automatische proggies. z.B. e-mail oder sonst was. e-mails rufe ich per hand ab. das einzige proggi das am Laufen ist, ist Avira, was kein virus gefunden hat beim scan oder beim Browserfenster aufmachen

FF browser aufgemacht und ab ins YouTube. Ich surfe dort für ca. 1-1/2 Stunde. alles von den gleichn fenster aus, als Tabs. Es wurde auf GAR KEINE andere Seite geschaut....NUR YouTube.

Während dieser Sitzung habe ich entschieden eine neue (Leere) FF Seite aufzumachen um woanders was zu surfen. (Mein YouTube Sitzung ist noch am laufen).....

PLING!!!! Avira entdeckt eine TR/Agent.ruo mit der aufmachung diesen neuen Fenster.

so....mein Fazit: entwieder habe ich das Ding bei YouTube eingefangen (was eigentlich nicht möglich wäre) oder....... Avira hat während meine Sitzung ein Update gemacht und gibt Falschmeldungen. Was ich hoffe der Fall ist.

Die einzige andere Möglichkeit ist das dieses Ding länger in Hintergrund gelauert hat und erst jetzt gestartet hat.... (kommt auch vor oder?)

Hoffentlich kann diesen Beitrag dazu helfen.