Hallo,

folgendes Problem:
Ein Windows XP SP3 Rechner hatte diverse Viren/Malware, dadrunter Security Protection und Bundespolizei-Trojaner.

Da noch wichtige Daten auf dem Rechner sind und dieser auch sehr viele weitere Hardware, wie Kartenleser etc. nutzen muss, habe ich statt einer Neuinstallation doch den Weg gesucht alle Viren zu entfernen. Das hat auch soweit geklappt, nur der IE8, bzw. die Datenschutzeinstellungen machen noch Probleme.

Bei jedem Start vom IE8 oder auch von Firefox 6.01 (ganz neu heute installiert), oder auch schon beim öffnen einer neuen Registerkarte, werden die Internet Sichheitseinstellungen geändert und die Datenschutz Einstellungen auf "Alle Cookies annehmen" bzw. alle 3. Anbieter Cookie annehmen gesetzt. Damit ist ja Tür und Tor geöffnet.

Wenn ich dann ganz schnell die Einstellungen wieder auf einen sicheren Level setze passiert nichts. Bin ich zu langsam, kommt der AntiVir und findet die ersten bösen Temp. Internet Files. Startseite ist dort übrigens T-Online.de.

Nun habe ich schon überall gesucht, aber leider noch nicht gefunden, wo die Startveränderungen unterdrückt werden können. Ich denke irgendein Trojaner hat diese in den Windowseinstellungen hinterlegt, da ja auch Firefox betroffen ist.

Aktiv habe ich mit Antivir, Spybot, hijackthis und Malwarebytes das System so gut es geht gereinigt.

Ich bin nun soweit eine Datensicherung machen zu können, habe aber noch Hoffung den Fehler in einer Richtlienie oder ähnlichen finden zu können und dann zu beheben.

Über etwas Hilfe wäre ich sehr dankbar.

Zitat:

Ein Windows XP SP3 Rechner hatte diverse Viren/Malware, dadrunter Security Protection und Bundespolizei-Trojaner.

Bitte alle relevanten Logs dazu posten

Hallo Arne,

sitze schon den ganzen Abend und bastel an den Log-Files, da der Rechner immer mal wieder schlapp macht und langsam wird, so das ich rebooten muss.

Kleine Info: Da der Rechner nicht bei mir zu Hause steht, muss ich leider remote die Scans machen (Sieht man auch in den Logs). Wenn es ganz wichtig ist, das die Internetverbindung tot ist, dann sage es bitte, dann werde ich zum Rechner schnellst möglich fahren und vor Ort arbeiten.

Und noch was ist mir heute aufgefallen: Die Datenträgerverwaltung geht nicht unter Windows. Ich glaube im GMER.log dazu auch was gesehen zu haben.

Hier nun die gesammelten Werke...

Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Hallo Arne,

ich habe es befürchtet... online Scan mit autoatischer Sicherheitsdeaktivierung bei jedem Fensteröffnen

Link anklicken, Datenschutz und Sicherheit wieder herstellen, Browserverlauf löschen... nächster Klick... und wieder von vorne, aber GESCHAFFT

Hier das File gepostet, wie gewünscht.


ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=67bdea2f5a624b4d8e1f573a0e0dd113
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-01 05:24:26
# local_time=2011-09-01 07:24:26 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3, v.3264
# compatibility_mode=512 16777215 100 0 253234 253234 0 0
# compatibility_mode=1797 16775141 100 100 266306 89788401 0 0
# compatibility_mode=8192 67108863 100 0 477 477 0 0
# scanned=153210
# found=2
# cleaned=0
# scan_time=6047
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\411ee228-5182df8a Java/Agent.DJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\6ac5daea-42d3bfd9 Java/Agent.DJ trojan (unable to clean) 00000000000000000000000000000000 I

Zitat:

Windows XP Professional Edition Service Pack 3, v.3264

Wieso hast du ein XP Pro? Bürocomputer?
Warum ist da nur eine Vorabversion vom SP3 drauf? => v.3264

Hi Arne,

ja ist ein Büro Computer, daher ja der Versuch der Rettung. An dem Ding hängt einiges dran.

Und Vorabversion ist gut. Habe ich noch gar nicht gesehen. Da ich aber die Updateseiten gar nicht laden kann, lebt der Rechner von dem automatischem Update. Warum das so gelaufen ist kann ich Dir nicht sagen, das lag vor meiner Zeit seit ich den Rechner anschaue. Der Rechner ist leider nicht von mir aufgesetzt.

Ich hätte SP3 eh noch einmal neu installiert, weil IE8 Neuinstallation nichts geholfen hatte, wollte Dir aber jetzt nicht in die Arbeit pfuschen.

Zur Zeit bin ich aber wieder daheim und remote auf dem Rechner, er läuft widererwartend sehr stabil heute, daher könnte ich jetzt noch was unternehmen, falls Du die nächsten Tips hast.

P.S. Datensicherung hatte vorgestern geklappt.

Zitat:

ja ist ein Büro Computer, daher ja der Versuch der Rettung. An dem Ding hängt einiges dran.

Ähm gerade dann sollte der Admin was in der Tasche haben was man sauberes Image nennt.

Zitat:

Ich hätte SP3 eh noch einmal neu installiert, weil IE8 Neuinstallation nichts geholfen hatte, wollte Dir aber jetzt nicht in die Arbeit pfuschen

Die Vorabversion auf so einem Rechner zu installieren, an dem "einiges dranhängt" ist Pfusch hoch drei
Wer kommt auf solche Ideen? Wenn ich _wichtige_ Rechner von Abteilungsleitern etc. aktualisieren, warten oder sonstwas muss, ist das erste was ich mach ein Image. Dann kann man ruhig danach was kaputtmachen oder es kann was durch die Aktualisierung kaputtgehen, notfalls spielt man das Image zurück.

Zieh ein Image von dieser Kiste und versuch die Vorabversion des SP3 zu deinstallieren.
Wenn alles glatt geht, neues Image.
Dann das finale SP3 installieren.
Geht wieder alles glatt, neues Image. Wohlgemerkt die alten erstellten Images alle behalten falls du ein oder zwei Schritte warum auch immer zurück willst/musst.
Beobachte wie sich die Kiste dann verhält. Echte Funde sind hier noch nicht zu verzeichnen.

OK, mit Datensicherung meinte ich eigentlich Image. habe ich seit vorgestern.

SP3 runter und neu drauf. Mal sehen, ob ich es runtergeladen bekomme.

Was ist mit den 2 Funden von ESET?

Die anderen Funde vor meinem ersten Post hier hatte ich ja schon direkt mit der Regedit gekillt.

Versuche nun SP3 ohne neue Trojaner downzuloaden...

Naja, die Dinger sehen mir nach Trash im Java-Cache aus.
Im Moment glaube eher die Kiste hat nen Schuss wegen Konfigchaos oder Vorabversion vom SP3 - auch wenn kein Virenscanner mehr etwas findet oder alles auch in Logs ok zu sein scheint, heißt das nicht, dass die Kiste komplett jemals so wieder einwandfrei laufen wird.

Ich bin da rel. kompromisslos, wenn da jmd einer meiner Kollegen einen Fehler meldet, den ich, mein Kollege oder unser Azubi nicht lösen können, setzten wir schnell einen neuen Rechner aus unserem Ersatzbestand (neu-Rechner) auf, stellen den auf und sacken den Problemrechner ein. Den können wir dann in Ruhe analysieren. Meistens sind es wirklich nur Probleme durch Konfigchaos, zig Programme installiert - ich weiß es ist unglücklich, aber manchen Kollegen muss man lokale Adminrechte geben und eigentlich nur bei denen tauchen solche Probleme auf, es sei denn die Hardware ist schuld.

Das macht unsere IT (zu der ich bis vor einigen Jahren auch gehörte) auch so in meiner Firma. Bei Laptops brauchen die User nur leider heute alle höhere Rechte, um ihre Anlalysetools etc. zu installieren. Dort gibt es zum Glück ja auch immer Images.

Dieser Rechner steht nur in einer kleineren Firma, die nicht über Images etc. verfügt. Aber mal was lustiges... Der Rechner hat eine 2. Festplatte. Welche in Windows aber gar nicht gezeigt wird. bzw. Laufwerksbuchtaben hat. Da die Datenträgerverwaltung ja auch nicht geht... habe ich diese auch nie gesehen.
Beim images vorgestern hatte ich mich nur gewundert, das ich plötzlich 3 Platte zu Auswahl hatte...
Naja beim Booten erkennt das Bios diese zumindest auch. Die scheint wohl früher als Images gedient zu haben, weil die Partionen dort total identisch sind.

So Download läuft. Danach entferne ich dann SP3... Ein image bekomme ich aber remote leider nicht hin. Muss ich dann morgen machen.
Ich halte Dich aber erst einmal auf dem laufenden, ob das Deinstallieren geklappt hat.

Hi Arne,

habe keine Möglichkeit gefunden das SP3 zu deinstaliern.
In Software ist der Button zum entfernen nicht da und im WindowsVerzeichnis habe ich keine uninstall Version für den Patch gefunden (WindowsXP-KB936929-SP3-x86-DEU.exe)

Diese Datei habe ich gefunden "WindowsXP-KB936929-SP3-Express-x86-DEU.exe" im Ordner C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1

Frage: Wo kan ich das deinstallieren, oder soll ich das neue SP3 überinstallieren..?

Der Rechner bringt mich noch um

PS: Sorry war im falschen Windowsunterordner, habs gefunden... deinstalliere nun.

Hallo Arne,

kleiner Zwischenstand:

SP3 Vorversion deinstalliert --> keine Probleme
Windows gestartet:
Antivir Dienst musste neu gestartet werden
Netzwerk musste neu verbunden werden (WLAN)
Warum Platte 1 nicht angezeigt wird habe ich auch gefunden. Sie ist im Gerätemanager deaktiviert. Aktiviere ich diese, ist sie auch in der datenträgerverwaltung vorhanden!
Platte 0 (C:\ etc.) ist weder im Gerätemanager noch in der Datenträgerverwaltung zu finden. Trotzdem sind die Laufwerksbuchstaben im Explorer vorhanden und man kann ja auch auf alle zugreifen.
Der Internet Explorer reagiert wie vorher. Sämtliche Sicherheitseinstellungen werden beim Aufrufen herab gesetzt. Beim Öffnen einer neuen Registerkarte das gleiche Problem.
Keine weiteren Viren/Trojaner aufgetaucht.

Rechner ist grad beim Erstellen eines neuen Images (Stand SP2). Restzeit > 1Std.
Ach ja, das SP2 wird als "final" ohne Versionsnummer angezeigt.

So,

SP3 ist drauf und.... TATA.
Die Sicherheitseinstellungen im IE bleiben aktiv...


Jetzt läd Windows die Updates.... fertig.
RUMS: Das bösartige Softwareerkenungs Tool schlägt zu.

Summary
TrojanOS/Alureon.A is the detection for a variant of the Alureon malware family that infects the Master Boot Record (MBR).

Der IE ist auch wieder zurückgesetzt........

Hmm, zumindest kann ich den wieder richtig setzen und er bleibt dann auch auf der Sicherheitsstufe.

Also irgendwas ist noch drauf.... Arne bitte Hilfe, was soll ich weiter machen?
Virenscanner rennen lassen? Oder MBR reparieren ?

AntiVir ist fertig:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 2. September 2011  22:58

Es wird nach 3329868 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PC-* * *

Versionsinformationen:
BUILD.DAT      : 10.2.0.700     35934 Bytes   21.7.2011 16:49:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes   29.6.2011 07:00:43
AVSCAN.DLL     : 10.0.5.0       57192 Bytes   29.6.2011 07:00:43
LUKE.DLL       : 10.3.0.5       45416 Bytes   29.6.2011 07:00:43
LUKERES.DLL    : 10.0.0.0       13672 Bytes   14.1.2010 09:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes   29.6.2011 07:00:43
AVREG.DLL      : 10.3.0.9       88833 Bytes   13.7.2011 06:17:10
VBASE000.VDF   : 7.10.0.0    19875328 Bytes   6.11.2009 08:26:54
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 07:18:27
VBASE002.VDF   : 7.11.3.0     1950720 Bytes    9.2.2011 07:07:31
VBASE003.VDF   : 7.11.5.225   1980416 Bytes    7.4.2011 06:01:28
VBASE004.VDF   : 7.11.8.178   2354176 Bytes   31.5.2011 06:42:57
VBASE005.VDF   : 7.11.10.251  1788416 Bytes    7.7.2011 06:10:16
VBASE006.VDF   : 7.11.13.60   6411776 Bytes   16.8.2011 07:53:20
VBASE007.VDF   : 7.11.13.61      2048 Bytes   16.8.2011 07:53:21
VBASE008.VDF   : 7.11.13.62      2048 Bytes   16.8.2011 07:53:22
VBASE009.VDF   : 7.11.13.63      2048 Bytes   16.8.2011 07:53:22
VBASE010.VDF   : 7.11.13.64      2048 Bytes   16.8.2011 07:53:22
VBASE011.VDF   : 7.11.13.65      2048 Bytes   16.8.2011 07:53:23
VBASE012.VDF   : 7.11.13.66      2048 Bytes   16.8.2011 07:53:24
VBASE013.VDF   : 7.11.13.95    166400 Bytes   17.8.2011 07:50:37
VBASE014.VDF   : 7.11.13.125   209920 Bytes   18.8.2011 07:50:37
VBASE015.VDF   : 7.11.13.157   184832 Bytes   22.8.2011 07:50:41
VBASE016.VDF   : 7.11.13.201   128000 Bytes   24.8.2011 07:50:41
VBASE017.VDF   : 7.11.13.234   160768 Bytes   25.8.2011 08:47:54
VBASE018.VDF   : 7.11.14.16    141312 Bytes   30.8.2011 11:12:48
VBASE019.VDF   : 7.11.14.48    133120 Bytes   31.8.2011 15:16:08
VBASE020.VDF   : 7.11.14.78    156160 Bytes    2.9.2011 16:32:14
VBASE021.VDF   : 7.11.14.79      2048 Bytes    2.9.2011 16:32:14
VBASE022.VDF   : 7.11.14.80      2048 Bytes    2.9.2011 16:32:15
VBASE023.VDF   : 7.11.14.81      2048 Bytes    2.9.2011 16:32:17
VBASE024.VDF   : 7.11.14.82      2048 Bytes    2.9.2011 16:32:17
VBASE025.VDF   : 7.11.14.83      2048 Bytes    2.9.2011 16:32:17
VBASE026.VDF   : 7.11.14.84      2048 Bytes    2.9.2011 16:32:17
VBASE027.VDF   : 7.11.14.85      2048 Bytes    2.9.2011 16:32:18
VBASE028.VDF   : 7.11.14.86      2048 Bytes    2.9.2011 16:32:18
VBASE029.VDF   : 7.11.14.87      2048 Bytes    2.9.2011 16:32:18
VBASE030.VDF   : 7.11.14.88      2048 Bytes    2.9.2011 16:32:18
VBASE031.VDF   : 7.11.14.90      2048 Bytes    2.9.2011 16:32:20
Engineversion  : 8.2.6.54  
AEVDF.DLL      : 8.1.2.1       106868 Bytes    2.8.2010 08:30:40
AESCRIPT.DLL   : 8.1.3.76     1626490 Bytes   28.8.2011 08:48:36
AESCN.DLL      : 8.1.7.2       127349 Bytes  23.11.2010 16:26:15
AESBX.DLL      : 8.2.1.34      323957 Bytes    4.6.2011 07:12:17
AERDL.DLL      : 8.1.9.13      639349 Bytes   20.7.2011 07:54:17
AEPACK.DLL     : 8.2.10.10     684407 Bytes    2.9.2011 16:33:04
AEOFFICE.DLL   : 8.1.2.13      201083 Bytes    1.8.2011 07:52:16
AEHEUR.DLL     : 8.1.2.164    3654007 Bytes    2.9.2011 16:32:58
AEHELP.DLL     : 8.1.17.7      254327 Bytes    1.8.2011 07:52:09
AEGEN.DLL      : 8.1.5.9       401780 Bytes   28.8.2011 08:48:00
AEEMU.DLL      : 8.1.3.0       393589 Bytes  23.11.2010 16:26:07
AECORE.DLL     : 8.1.23.0      196983 Bytes   28.8.2011 08:47:58
AEBB.DLL       : 8.1.1.0        53618 Bytes   23.4.2010 16:48:21
AVWINLL.DLL    : 10.0.0.0       19304 Bytes   14.1.2010 09:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes   29.6.2011 07:00:43
AVREP.DLL      : 10.0.0.10     174120 Bytes   19.5.2011 06:29:04
AVARKT.DLL     : 10.0.26.1     255336 Bytes   29.6.2011 07:00:43
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes   29.6.2011 07:00:43
SQLITE3.DLL    : 3.6.19.0      355688 Bytes   28.1.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes   16.3.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes   19.2.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes   29.6.2011 07:00:42
RCTEXT.DLL     : 10.0.64.0      98664 Bytes   29.6.2011 07:00:42

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 2. September 2011  22:58

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDWriterAutoStart.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'nsload.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'sfagent.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX1000.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvraidservice.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'vncclipboard.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'fbserver.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinVNC4.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'FighterSuiteService.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'sfus.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'nsverctl.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'fbguard.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1670' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WinXP_SP2>
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\359cbbd1-56ffc645
  [0] Archivtyp: ZIP
  --> bingo/haskalu.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.BN
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\411ee228-5182df8a
  [0] Archivtyp: ZIP
  --> buildService/MapYandex.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AH
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\6ac5daea-42d3bfd9
  [0] Archivtyp: ZIP
  --> buildService/MapYandex.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AH
C:\System Volume Information\_restore{AE6D8AB8-0CEE-455A-BEB4-A4C6324B7F5A}\RP179\A0130056.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
C:\WINDOWS\SoftwareDistribution\Download\0b49b7a3925706df5f62607b1d41ccdd\BIT3D.tmp
  [0] Archivtyp: CAB SFX (self extracting)
  --> _sfx_0009._p
      [WARNUNG]   Die Datei konnte nicht geschrieben werden!
Beginne mit der Suche in 'D:\' <Eigene Dateien>
Beginne mit der Suche in 'E:\' <Software>
E:\System Volume Information\_restore{AE6D8AB8-0CEE-455A-BEB4-A4C6324B7F5A}\RP194\A0142367.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
E:\System Volume Information\_restore{AE6D8AB8-0CEE-455A-BEB4-A4C6324B7F5A}\RP194\A0142368.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
E:\System Volume Information\_restore{AE6D8AB8-0CEE-455A-BEB4-A4C6324B7F5A}\RP194\A0142369.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

Beginne mit der Desinfektion:
E:\System Volume Information\_restore{AE6D8AB8-0CEE-455A-BEB4-A4C6324B7F5A}\RP194\A0142369.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa4f934.qua' verschoben!
E:\System Volume Information\_restore{AE6D8AB8-0CEE-455A-BEB4-A4C6324B7F5A}\RP194\A0142368.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5233d693.qua' verschoben!
E:\System Volume Information\_restore{AE6D8AB8-0CEE-455A-BEB4-A4C6324B7F5A}\RP194\A0142367.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '006c8c7b.qua' verschoben!
C:\System Volume Information\_restore{AE6D8AB8-0CEE-455A-BEB4-A4C6324B7F5A}\RP179\A0130056.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '665bc3b9.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\6ac5daea-42d3bfd9
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AH
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2389eef0.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\411ee228-5182df8a
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AH
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5cc4dce1.qua' verschoben!
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17\359cbbd1-56ffc645
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.BN
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1074f0a7.qua' verschoben!


Ende des Suchlaufs: Samstag, 3. September 2011  00:49
Benötigte Zeit:  1:50:42 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  14797 Verzeichnisse wurden überprüft
 981375 Dateien wurden geprüft
      7 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      7 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 981368 Dateien ohne Befall
  23018 Archive wurden durchsucht
      1 Warnungen
      7 Hinweise
 636468 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         

IE Datenschutz noch nicht wieder betroffen, aber die WindowsUpdateseite geht schin wieder nicht mehr....

Starte Malware Full Scann