![]() |
|
Log-Analyse und Auswertung: Mehere Trojaner und Malware gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() | ![]() Mehere Trojaner und Malware gefunden Guten Tag, gestern wurde ich via antivir auf folgenden Befund aufmerksam gemacht: (der Rechner zeigt bislang keine offensichtliche Dysfunktion ) Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 27. Februar 2012 00:47 Es wird nach 3499677 Virenstämmen gesucht. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Michael Computername : PLATZ0 Versionsinformationen: BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 11:00:22 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 11:00:22 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:58:08 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:35:16 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:13:19 VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 14:14:22 VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 14:14:46 VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 14:14:47 VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 14:14:47 VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 14:14:48 VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 14:14:48 VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 14:14:50 VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 14:14:50 VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 14:14:50 VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 14:16:34 VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 14:13:02 VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 13:28:18 VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 13:29:03 VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 21:41:00 VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 08:16:44 VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 08:46:15 VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 08:51:21 VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 08:49:42 VBASE022.VDF : 7.11.23.225 2048 Bytes 23.02.2012 08:49:42 VBASE023.VDF : 7.11.23.226 2048 Bytes 23.02.2012 08:49:49 VBASE024.VDF : 7.11.23.227 2048 Bytes 23.02.2012 08:49:49 VBASE025.VDF : 7.11.23.228 2048 Bytes 23.02.2012 08:49:49 VBASE026.VDF : 7.11.23.229 2048 Bytes 23.02.2012 08:49:50 VBASE027.VDF : 7.11.23.230 2048 Bytes 23.02.2012 08:49:50 VBASE028.VDF : 7.11.23.231 2048 Bytes 23.02.2012 08:49:50 VBASE029.VDF : 7.11.23.232 2048 Bytes 23.02.2012 08:49:51 VBASE030.VDF : 7.11.23.233 2048 Bytes 23.02.2012 08:49:51 VBASE031.VDF : 7.11.24.8 96768 Bytes 26.02.2012 23:37:34 Engineversion : 8.2.10.8 AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 14:37:02 AESCRIPT.DLL : 8.1.4.7 442746 Bytes 24.02.2012 08:50:50 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 17:10:19 AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 17:46:17 AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 10:57:26 AEPACK.DLL : 8.2.16.3 799094 Bytes 10.02.2012 13:40:13 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 09:27:22 AEHEUR.DLL : 8.1.4.0 4436342 Bytes 24.02.2012 08:50:43 AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 13:18:29 AEGEN.DLL : 8.1.5.21 409971 Bytes 03.02.2012 14:18:59 AEEXP.DLL : 8.1.0.23 70005 Bytes 24.02.2012 08:50:51 AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 17:15:47 AECORE.DLL : 8.1.25.4 201079 Bytes 13.02.2012 21:41:06 AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 09:36:28 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 18:41:45 AVREP.DLL : 10.0.0.9 174120 Bytes 05.03.2011 13:15:12 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 11:00:22 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+SPR, Beginn des Suchlaufs: Montag, 27. Februar 2012 00:47 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '107457' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PcScnSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tmproxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TmPfw.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Tmntsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rfx-server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PcCtlCom.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TMAS_OEMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pccguide.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '37' Prozesse mit '37' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '66' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Lokaler Datenträger> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\27be6c3d-10bef566 [0] Archivtyp: ZIP --> apps/MyApplet.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544 --> apps/MyWorker.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\0.028547357837511278.exe [FUND] Ist das Trojanische Pferd TR/Ransom.EJ.28 C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\jar_cache49088.tmp [0] Archivtyp: ZIP --> Applet.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.BU.1 Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\27be6c3d-10bef566 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4facd45c.qua' verschoben! C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\0.028547357837511278.exe [FUND] Ist das Trojanische Pferd TR/Ransom.EJ.28 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f7ad453.qua' verschoben! C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\jar_cache49088.tmp [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fbcd486.qua' verschoben! Ende des Suchlaufs: Montag, 27. Februar 2012 01:53 Benötigte Zeit: 1:03:01 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 6497 Verzeichnisse wurden überprüft 289279 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 289274 Dateien ohne Befall 2802 Archive wurden durchsucht 1 Warnungen 4 Hinweise 107457 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.26.07 Windows XP Service Pack 2 x86 NTFS Internet Explorer 7.0.5730.11 Michael :: PLATZ0 [Administrator] Schutz: Aktiviert 27.02.2012 10:46:36 mbam-log-2012-02-27 (10-46-36).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 297651 Laufzeit: 1 Stunde(n), 35 Minute(n), 37 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 4 HKCR\CLSID\{DB3C772E-16F4-40e7-AAF2-5DEBA1354917} (Password.Stealer) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DB3C772E-16F4-40E7-AAF2-5DEBA1354917} (Password.Stealer) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB3C772E-16F4-40E7-AAF2-5DEBA1354917} (Password.Stealer) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 8 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|hp32_nword (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\Michael\hp32_nword.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|BN (Trojan.Ambler) -> Daten: F^B_NM -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|gd (Trojan.Ambler) -> Daten: lSU$T %R:&!Q#:#'r :VVQ%:"SRUV&$"#.& j -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|D1 (Trojan.Ambler) -> Daten: ! -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|D2 (Trojan.Ambler) -> Daten: ! -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|D3 (Trojan.Ambler) -> Daten: !!# -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|pr (Trojan.Ambler) -> Daten: rte`8rzf8}{p{:r{ -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Internet Connection Wizard Setup Tool (Trojan.Downloader) -> Daten: C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 10 c:\system volume information\_restore{5542117f-8e15-42fa-ac38-3e6d8c573666}\rp1069\a0065692.exe (Backdoor.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\c2d.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\ck.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\idm.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\jc.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\q1.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Michael\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\AppPatch\WG_List.dat (Trojan.Apppatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=7.00.6000.16827 (vista_gdr.090226-1506) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=3b398bb2e6e68748a50dbbb8695b9ffa # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-02-27 12:51:20 # local_time=2012-02-27 01:51:20 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 2 # compatibility_mode=512 16777179 100 0 148258769 148258769 0 0 # compatibility_mode=1797 16775141 100 100 47237 105858235 39824 0 # compatibility_mode=4096 16777215 100 0 0 0 0 0 # compatibility_mode=8192 67108863 100 0 3840 3840 0 0 # scanned=120074 # found=1 # cleaned=0 # scan_time=4152 C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Eigene Bilder\ben\01_09_2010_kl-ktn\stickBackup21012011\Ablage\Ablage\Neuer Ordner\Setup_FreeFlvConverter52.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.27.01 Windows XP Service Pack 2 x86 NTFS Internet Explorer 7.0.5730.11 Michael :: PLATZ0 [Administrator] Schutz: Aktiviert 27.02.2012 14:07:17 mbam-log-2012-02-27 (14-07-17).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 297907 Laufzeit: 1 Stunde(n), 10 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) (in dem Fall würden die zahlreichen, längst überfälligen Sicherheitsmaßnahmen wie SP3, Javaupdate, adminrechte, ect. gemäß den hier auf dem Board dokumentierten Hinweise natürlich direkt im Anschluß umgesetzt) Herzlichen Dank im Voraus! |
Themen zu Mehere Trojaner und Malware gefunden |
.dll, administrator, antivir, avg, backdoor.agent.h, browser, dateisystem, desktop, einstellungen, exp/2011-3544.bu.1, exp/cve-2011-3544, helper, heuristiks/extra, heuristiks/shuriken, hook, iexplore.exe, javaupdate, malware, malware gefunden, modul, nt.dll, ordner, password.stealer, programme, prozesse, registry, rundll, services.exe, software, svchost.exe, tr/ransom.ej.28, trojan.apppatch, trojaner, verweise, vista, warnung, windows, winlogon.exe |