| |
| |||||||
Log-Analyse und Auswertung: Windows blockiert aus Sicherheitsgründen-TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.01.2012, 19:48
| #1 |
 |  Windows blockiert aus Sicherheitsgründen-Trojaner Hallo zusammen, der hier schon häufig erwähnte trojaner raubt auch mir nach einem unschuldigen besuch von kinox.to den letzten nerv... Toll, dass ihr mir vielleicht helfen könnt, auch wenn ich zugebenermaßen nicht gerade ein rechner-crack bin...eher das gegenteil... Was ich bisher getan habe: systemwiederherstellung auf 2Tage vorher, das beseitigte das symptom. Dann scan mit Malwarebytes, 1 fund der wohl in Quarantäne verschoben wurde, den ich dort aber nicht finde. wie ich weiter vorgegangen bin hinter den logs. OTL Log ganz am Ende... erstmal das log und ein altes von mai. Code:
ATTFilter Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.01.02 Windows XP Service Pack 2 x86 NTFS Internet Explorer 6.0.2900.2180 julchen :: TARKAN [Administrator] 01.01.2012 17:30:14 mbam-log-2012-01-01 (17-30-14).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 228839 Laufzeit: 1 Stunde(n), 10 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Dokumente und Einstellungen\julchen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6DAZ238Z\1f47f1419f1fabb265da5f3fb8606543472088693e72e17292ebe9c118414543_exe[1] (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7562
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
25.08.2011 13:01:52
mbam-log-2011-08-25 (13-01-50).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 256448
Laufzeit: 1 Stunde(n), 20 Minute(n), 14 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Dann habe ich noch Tdss Killer scannen lassen, da finde ich aber das log nicht. Dann habe ich Esets inkl externer Festplatte laufen lassen, er hat jede Menge gefunden: wtf: Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=acab50e6042389419571ea83b2ec02b2
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-02 02:30:06
# local_time=2012-01-02 03:30:06 (+0100, Westeuropäische Normalzeit)
# country="Austria"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1797 16775145 100 93 153961 62043743 261384 0
# compatibility_mode=8192 67108863 100 0 4022 4022 0 0
# scanned=129049
# found=11
# cleaned=0
# scan_time=7687
C:\Dokumente und Einstellungen\julchen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\40d0d773-50c22d5e multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\julchen\Eigene Dateien\Downloads\Nero-8.2.8.0_deu_trial.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\julchen\Eigene Dateien\Downloads\SoftonicDownloader_fuer_freemind.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\julchen\Eigene Dateien\Downloads\SoftonicDownloader_fuer_zsnes.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\julchen\Lokale Einstellungen\Temp\321.exe a variant of Win32/Kryptik.YHX trojan (unable to clean) 00000000000000000000000000000000 I
F:\Users\Nikolaus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\1eff1eb1-63954bc9 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
F:\Users\Nikolaus\AppData\Roaming\Desktopicon\eBayShortcuts.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\Users\Nikolaus\Downloads\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\Users\Nikolaus\Downloads\eac-0.99pb5.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\Users\Nikolaus\Downloads\MyWebFaceSetup2.3.50.62.GRfox000.exe a variant of Win32/Toolbar.MyWebSearch.O application (unable to clean) 00000000000000000000000000000000 I
F:\Users\Nikolaus\Downloads\SoftonicDownloader90278.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
defogger ging nicht, log hier Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:55 on 02/01/2012 (julchen)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter OTL logfile created on: 02.01.2012 15:58:38 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\julchen\Desktop Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy 510,80 Mb Total Physical Memory | 252,52 Mb Available Physical Memory | 49,44% Memory free 1,22 Gb Paging File | 0,88 Gb Available in Paging File | 72,43% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 69,34 Gb Total Space | 37,47 Gb Free Space | 54,03% Space Free | Partition Type: NTFS Drive D: | 994,23 Mb Total Space | 493,16 Mb Free Space | 49,60% Space Free | Partition Type: FAT32 Computer Name: TARKAN | User Name: julchen | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.01.02 15:56:00 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\julchen\Desktop\OTL.exe PRC - [2011.07.08 09:51:37 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.04.27 09:42:11 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.11.30 18:12:37 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2005.02.23 17:13:10 | 000,077,824 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\soundman.exe PRC - [2005.02.18 01:51:26 | 000,737,379 | ---- | M] (Cyberlink) -- C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe PRC - [2005.02.18 01:51:26 | 000,024,576 | ---- | M] (Cyberlink) -- C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe PRC - [2005.02.18 01:50:52 | 000,110,711 | ---- | M] () -- C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe PRC - [2005.02.18 01:50:48 | 000,172,153 | ---- | M] () -- C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe PRC - [2005.01.17 11:12:00 | 000,258,048 | R--- | M] (ELANTECH Devices Corp.) -- C:\Programme\Elantech\Ktp3.exe PRC - [2004.12.01 18:02:48 | 000,106,496 | ---- | M] () -- C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe ========== Modules (No Company Name) ========== MOD - [2010.06.17 14:27:02 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2005.02.18 01:50:52 | 000,110,711 | ---- | M] () -- C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe Ich hoffe, ich habe an alles gedacht. Ich habe allerdings noch nicht im abgesicherten modus irgendwas gemacht. habe übrigens windows XP, Targa notebook von 2005. Vielen Dank Euch schon im Voraus... JUJU mit Wurm |
| Themen zu Windows blockiert aus Sicherheitsgründen-Trojaner |
| administrator, antivir, autostart, avira, blockiert, dateien, dateisystem, downloader, escan, exe, explorer, festplatte, format, gelöscht, heuristiks/extra, heuristiks/shuriken, home, logfile, malwarebytes, microsoft, notebook, realtek, scan, tdss, trojaner, variant, win32/adware.adon, win32/agent.dyxwumy, win32/softonicdownloader.a, win32/toolbar.mywebsearch.o, windows, wurm |
Baum-Darstellung