hey. also, vorhin bekam ich über eine werbeseite bekannten Bundepsolizei-ukash Trojaner. Eins war jedoch anders als üblicherweise beschrieben: Nach runter- und wieder rauffahren von windows 7 im normalen modus konnte ich den pc ganz normal verwenden, das Bild war weg. Habe nun Antivir (kein Fund) sowie Malwarebytes komplett durchlaufen lassen (aktualisiert). Hier der Fund von Malwarebytes:


*********************
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7611

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

30.08.2011 20:04:56
mbam-log-2011-08-30 (20-04-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 383880
Laufzeit: 1 Stunde(n), 10 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avupdate (Rootkit.0Access.XGen) -> Value: avupdate -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\***\AppData\Roaming\jashla.exe (Rootkit.0Access.XGen) -> No action taken.
c:\program files\wolfram research\mathematica\7.0\systemfiles\Java\Windows\lib\launcher.exe (Adware.Agent.ZGen) -> No action taken.
c:\Users\***\AppData\Local\Temp\jar_cache75960891931266425.tmp (Trojan.Zbot) -> No action taken.



also was tun? bin ich nach Entfernen dieser Dateien nochmal einigermaßen gut davon gekommen (warum konnte ich den PC nach Neustart verwenden?) oder muss da Neuaufsetzen sein?

update:
inzwischen mal nen kaspersky-pure komplettscan druchlaufen lassen. der ergab folgendes:

Vollständige Untersuchung: wurde abgeschlossen vor 26 Minuten (Ereignis: 11, Objekte: 967563, Zeit: 00:29:36)
31.08.2011 02:06:46 Aufgabe wurde gestartet
31.08.2011 02:16:09 Gefunden: Exploit.Java.CVE-2010-0840.cd c:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\6ac5daea-3b260df0/buildService/MapYandex.class
31.08.2011 02:16:10 Gefunden: Exploit.Java.CVE-2010-4452.y c:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\146ca4f0-2a3c98aa
31.08.2011 02:16:10 Gefunden: Exploit.Java.CVE-2010-4452.y c:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\146ca4f0-2275e70b
31.08.2011 02:16:11 Gefunden: Exploit.Java.CVE-2010-4452.y c:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\146ca4f0-2e67e179
31.08.2011 02:16:13 Gefunden: Exploit.Java.CVE-2010-4452.y c:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\146ca4f0-4109ddc7
31.08.2011 02:16:13 Gefunden: Exploit.Java.CVE-2010-4452.y c:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\146ca4f0-67fbd96f
31.08.2011 02:16:13 Gefunden: Exploit.Java.CVE-2010-4452.y c:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\146ca4f0-7eee573f
31.08.2011 03:20:12 Aufgabe wurde abgebrochen
31.08.2011 12:31:31 Aufgabe wurde gestartet
31.08.2011 13:01:07 Aufgabe wurde abgeschlossen
Untersuchung von Objekten: wurde abgeschlossen vor 11 Stunden (Ereignis: 2, Objekte: 13682, Zeit: 00:02:49)
31.08.2011 02:19:30 Aufgabe wurde abgeschlossen
31.08.2011 02:16:41 Aufgabe wurde gestartet
Rootkit-Suche: wurde abgeschlossen vor 18 Minuten (Ereignis: 2, Objekte: 2368, Zeit: 00:06:54)
31.08.2011 13:09:34 Aufgabe wurde abgeschlossen
31.08.2011 13:02:40 Aufgabe wurde gestartet

und hier der log vom eset online scanner:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=ca0f3bf97242fb4d92ad19acca758062
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-31 02:13:13
# local_time=2011-08-31 04:13:13 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1282 16774525 100 100 0 73789075 0 0
# compatibility_mode=5893 16776574 100 94 9402490 66424353 0 0
# compatibility_mode=8192 67108863 100 0 136 136 0 0
# scanned=231403
# found=0
# cleaned=0
# scan_time=5510

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

hey. ja, das hab ich gemacht. direkt im anschluss an den scan, nur als ich den log gespeichert hatte wars noch nicht getan. und sonst? alles sicher?

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread