Guten Tag allerseits.

Gestern ist mein Computer aufgrund eines Viruses oder Trojaners ausgerastet.
Es wurden plötzlich (ohne irgendeine exe ausgeführt zu haben oder auf einer
auch nur fragwürdigen seite zu sein) wild Programme geöffnet und in
geöfneten Programmen warscheinlich willkürlich rumgeklickt.
Eine Mail von meiner Cousine (ohne Links oder irgendetwas besonderes)
würde in Thunderbird so oft geöffnet bis 4 leisten voll von mails waren.

Ich habe daraufhin sofort, das internet rausgezogen und im abgesicherten modus
einen quickscan gemacht welcher einen Trojaner gefunden hat welchen ich entfernt habe.

Danach habe ich nochmal einen Komplettscan durchführen lassen allerdings ohne weiteren Ergebnisse.

Bei Antivir wird nun beim normalen starten in der Übersicht angezeigt, dass alles in Ordnung wäre.
Allerdings wird das Feld Online-Schutz sofort rot wenn ich es anklicke und es steht Webguard Unbekannt da.

Ich habe dass Gefühl das immer noch nicht alles in Ordnung ist.
Wie sollte ich weiter Verfahren?
Ist es ratsam seine Passwörter etc. zu ändern, da sie vielleicht aufgenommen worden sein könnten?


Hoffe auf baldige Hilfe und bedanke mich schonmal im vorraus.

Zitat:

einen quickscan gemacht welcher einen Trojaner gefunden hat welchen ich entfernt habe.

Bitte ALLE Logs dazu posten!!

das mache ich gern. Wo finde ich die logs bei Antivir und wie poste ich sie?

Hauptmenü Berichte/Ereignisse

Hi,
habe gerade geschaut. Es hat auf mein Torrent Programm ausgeschlagen was ich schon ewig auf meinem rechner habe.
Allerdings kann hier der Fehler nicht wirklich liegen, denn Antivir macht immer noch
den Eindruck als würde es nicht normal funktionieren (geschlossener Schirm etc.)
und den Ausraster wird dass warscheinlich auch nicht verursacht haben.

Ich hoffe mein Thema wird weiter bearbeitet auch wenn Torrents manchmal zu
illegalen zwecken genutzt werden sind sie ja keineswegs illegal. (Wegen eurer no cracks klausel etc.)
(habe cryptload auch schon ne ganze weile nicht mehr benutzt also könnte dadurch auch nichts ausgelöst worden sein.)

Vorsichtshalber habe ich es dennoch gelöscht. Wie kann ich jetzt feststellen,
was das ganze ausgelöst hat bzw. ob es jetzt weg ist?




Log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 21. Juli 2011 23:30

Es wird nach 3025171 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista x64
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DANIEL-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.696 35934 Bytes 29.06.2011 17:26:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 01.07.2011 09:26:13
AVSCAN.DLL : 10.0.5.0 57192 Bytes 01.07.2011 09:26:13
LUKE.DLL : 10.3.0.5 45416 Bytes 01.07.2011 09:26:14
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 01.07.2011 09:26:14
AVREG.DLL : 10.3.0.9 88833 Bytes 13.07.2011 08:59:00
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:04:02
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 17:12:57
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 14:33:45
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 17:28:10
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 15:17:22
VBASE006.VDF : 7.11.10.252 2048 Bytes 07.07.2011 15:17:22
VBASE007.VDF : 7.11.10.253 2048 Bytes 07.07.2011 15:17:22
VBASE008.VDF : 7.11.10.254 2048 Bytes 07.07.2011 15:17:22
VBASE009.VDF : 7.11.10.255 2048 Bytes 07.07.2011 15:17:22
VBASE010.VDF : 7.11.11.0 2048 Bytes 07.07.2011 15:17:22
VBASE011.VDF : 7.11.11.1 2048 Bytes 07.07.2011 15:17:22
VBASE012.VDF : 7.11.11.2 2048 Bytes 07.07.2011 15:17:22
VBASE013.VDF : 7.11.11.75 688128 Bytes 12.07.2011 08:58:59
VBASE014.VDF : 7.11.11.104 978944 Bytes 13.07.2011 15:56:10
VBASE015.VDF : 7.11.11.137 655360 Bytes 14.07.2011 15:56:11
VBASE016.VDF : 7.11.11.184 699392 Bytes 18.07.2011 11:29:02
VBASE017.VDF : 7.11.11.185 2048 Bytes 18.07.2011 11:29:02
VBASE018.VDF : 7.11.11.186 2048 Bytes 18.07.2011 11:29:02
VBASE019.VDF : 7.11.11.187 2048 Bytes 18.07.2011 11:29:02
VBASE020.VDF : 7.11.11.188 2048 Bytes 18.07.2011 11:29:02
VBASE021.VDF : 7.11.11.189 2048 Bytes 18.07.2011 11:29:02
VBASE022.VDF : 7.11.11.190 2048 Bytes 18.07.2011 11:29:02
VBASE023.VDF : 7.11.11.191 2048 Bytes 18.07.2011 11:29:02
VBASE024.VDF : 7.11.11.192 2048 Bytes 18.07.2011 11:29:02
VBASE025.VDF : 7.11.11.193 2048 Bytes 18.07.2011 11:29:03
VBASE026.VDF : 7.11.11.194 2048 Bytes 18.07.2011 11:29:03
VBASE027.VDF : 7.11.11.195 2048 Bytes 18.07.2011 11:29:03
VBASE028.VDF : 7.11.11.196 2048 Bytes 18.07.2011 11:29:03
VBASE029.VDF : 7.11.11.197 2048 Bytes 18.07.2011 11:29:03
VBASE030.VDF : 7.11.11.198 2048 Bytes 18.07.2011 11:29:03
VBASE031.VDF : 7.11.11.208 77824 Bytes 19.07.2011 11:29:03
Engineversion : 8.2.6.16
AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 15:09:30
AESCRIPT.DLL : 8.1.3.73 1622395 Bytes 17.07.2011 15:56:16
AESCN.DLL : 8.1.7.2 127349 Bytes 29.11.2010 20:46:59
AESBX.DLL : 8.2.1.34 323957 Bytes 07.06.2011 17:28:15
AERDL.DLL : 8.1.9.13 639349 Bytes 17.07.2011 15:56:16
AEPACK.DLL : 8.2.9.5 676214 Bytes 17.07.2011 15:56:15
AEOFFICE.DLL : 8.1.2.12 201083 Bytes 17.07.2011 15:56:14
AEHEUR.DLL : 8.1.2.144 3621240 Bytes 17.07.2011 15:56:14
AEHELP.DLL : 8.1.17.5 246135 Bytes 17.07.2011 15:56:12
AEGEN.DLL : 8.1.5.6 401780 Bytes 20.05.2011 13:33:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 29.11.2010 20:46:57
AECORE.DLL : 8.1.22.4 196983 Bytes 17.07.2011 15:56:12
AEBB.DLL : 8.1.1.0 53618 Bytes 02.08.2010 15:09:25
AVWINLL.DLL : 10.0.0.0 19304 Bytes 02.08.2010 15:09:33
AVPREF.DLL : 10.0.3.2 44904 Bytes 01.07.2011 09:26:13
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 13:23:15
AVARKT.DLL : 10.0.26.1 255336 Bytes 01.07.2011 09:26:12
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 01.07.2011 09:26:13
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 14:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 02.08.2010 15:09:33
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 14:27:01
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 01.07.2011 09:26:11
RCTEXT.DLL : 10.0.64.0 98664 Bytes 01.07.2011 09:26:11

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: D:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 21. Juli 2011 23:30

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-2383699699-257912313-3487588874-1000\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2383699699-257912313-3487588874-1000\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'thunderbird.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'AMDSrv.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'postgres.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg_ctl.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'hamachi-2-ui.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '195' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Downloads\6941f4a16e434b2877d378b80081f466\custom3d.7z.001
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\Daniel\Desktop\Programme\Cryptload1.1.8\tools\RouterRecorder.exe
[FUND] Ist das Trojanische Pferd TR/Swisyn.aqmf
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
C:\Users\Daniel\Desktop\Programme\Cryptload1.1.8\tools\RouterRecorder.exe
[FUND] Ist das Trojanische Pferd TR/Swisyn.aqmf
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be6167f.qua' verschoben!


Ende des Suchlaufs: Freitag, 22. Juli 2011 01:26
Benötigte Zeit: 1:56:21 Stunde(n)

Der Suchlauf wurde abgebrochen!

41286 Verzeichnisse wurden überprüft
1075443 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1075442 Dateien ohne Befall
4912 Archive wurden durchsucht
1 Warnungen
3 Hinweise
530293 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Eset ist mehrere Stunden durchgelaufen hat am ende aber kein log ausgespuckt.



log von malwarebytes:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7271

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

25.07.2011 15:46:54
mbam-log-2011-07-25 (15-46-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 630197
Laufzeit: 2 Stunde(n), 38 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Titan Poker (PUP.Casino) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Poker\titan poker\_titanpsetup_133ec8.exe (PUP.Casino) -> No action taken.

Zitat:

Eset ist mehrere Stunden durchgelaufen hat am ende aber kein log ausgespuckt.

Du solltest auch meine Anleitung lesen, da steht wie du das Log von ESET öffnest

Ja das habe ich. Ich habe es einmal über das command versucht: "file does not exist"
und danach bin ich manuell in den Ordner gegangen, aber dort gab es kein log.txt.

Suche einfach nach log.txt (nur auf C, da solltest du fündig werden, wen du Arnes Anleitung richtig befolgt hast.

hab eigentlich alles nach anleitung gemacht. da kann man ja nicht viel falsch machen.
log ist trotzdem nicht da. ich lasse es morgen nochmal durchlaufen und hoffe, dass es dann etwas ausspuckt.

Zitat:

Plattform : Windows Vista x64

Ich hab dazu auch ein Extra-Hinweis gepostet!!

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code: Alles auswählenAufklappen

ATTFilter

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
         

ganau das habe ich gemacht gehabt. war wie gesagt auch manuell in dem
ordner, da waren aber nur 3 dateien und kein log drin.


Aber nach nochmaligem durchlaufen hier das log:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=a3452be9e4a2484c8785adb249a6cfe1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-26 05:26:28
# local_time=2011-07-26 07:26:28 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 94 230042 48214066 222243 0
# compatibility_mode=5892 16776573 100 56 8207 149204905 0 0
# compatibility_mode=8192 67108863 100 0 78 78 0 0
# scanned=467278
# found=1
# cleaned=0
# scan_time=20342
E:\Programme\Left 4 Dead 2\L4D2Settings.exe Win32/Packed.Autoit.E.Gen application (unable to clean) 00000000000000000000000000000000 I




heißt dass jetzt alles ist in ordnung?

Zitat:

E:\Programme\Left 4 Dead 2\L4D2Settings.exe

Wo hast du das her?

Das ist ein Spiel, habe ich legal gekauft und von der DVD aus instaliert.
Daran kann es doch wohl schwer liegen?