![]() |
|
Log-Analyse und Auswertung: TR.RootkitGen2, TR.SirefefBP1, EXP/Java.Vedebi.Gen, TR.Atraps.Gen2Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
|
![]() | #1 |
![]() ![]() | ![]() TR.RootkitGen2, TR.SirefefBP1, EXP/Java.Vedebi.Gen, TR.Atraps.Gen2 Hallo, diese: TR.RootkitGen2, TR.SirefefBP1, EXP/Java.Vedebi.Gen, TR.Atraps.Gen2 Fehlermeldungen habe ich von Antivir bekommen und nachdem ich nun alle Einträge in der Quarantäne gelöscht habe und ein neuer Suchlauf keinen Fund aufwies, komme ich mit meinem Notebook nun nicht mehr ins Internet (WLAN). Außerdem habe ich nach der Recherche im Netz den Eindruck, dass es sich vielleicht nur um eine oberflächliche Beseitigung handelt und ich noch andere Maßnahmen ergreifen muss? Mein Passwort beim Internetbanking (MobileTan) habe ich jedenfalls schon mal geändert. Hier die dds.txt . DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_22 Run by Daniela at 11:34:36 on 2012-02-29 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.894.410 [GMT 1:00] . AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . ============== Running Processes =============== . C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Launch Manager\LaunchAp.exe C:\Launch Manager\HotkeyApp.exe C:\Launch Manager\OSD.exe C:\Launch Manager\OSDCtrl.exe C:\Launch Manager\Wbutton.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Ask.com\Updater\Updater.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE . ============== Pseudo HJT Report =============== . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*hxxp://www.yahoo.com BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} - No File BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelper.dll BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot - search & destroy\SDHelper.dll BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.2.4204.1700\swg.dll BHO: Avira SearchFree Toolbar plus Web Protection: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll TB: Avira SearchFree Toolbar plus Web Protection: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File TB: {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No File uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe uRun: [MSMSGS] "c:\programme\messenger\msmsgs.exe" /background uRun: [SpybotSD TeaTimer] c:\programme\spybot - search & destroy\TeaTimer.exe mRun: [ATIPTA] c:\programme\ati technologies\ati control panel\atiptaxx.exe mRun: [SynTPLpr] c:\programme\synaptics\syntp\SynTPLpr.exe mRun: [SynTPEnh] c:\programme\synaptics\syntp\SynTPEnh.exe mRun: [LaunchAp] c:\launch manager\LaunchAp.exe mRun: [HotkeyApp] c:\launch manager\HotkeyApp.exe mRun: [LMgrVolOSD] c:\launch manager\OSD.exe mRun: [LMgrOSD] c:\launch manager\OSDCtrl.exe mRun: [Wbutton] "c:\launch manager\Wbutton.exe" mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe mRun: [CtrlVol] c:\launch manager\CtrlVol.exe mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 10.0\reader\Reader_sl.exe" mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime mRun: [SoundMan] SOUNDMAN.EXE mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe" mRun: [<NO NAME>] mRun: [ApnUpdater] "c:\programme\ask.com\updater\Updater.exe" dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE StartupFolder: c:\dokume~1\daniela\startm~1\progra~1\autost~1\openoffice.org 3.3.lnk - c:\programme\openoffice.org 3\program\quickstart.exe StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\microsoft office.lnk - c:\programme\microsoft office\office10\OSA.EXE mPolicies-explorer: NoResolveTrack = 1 (0x1) IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~3\office10\EXCEL.EXE/3000 IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\progra~1\spybot - search & destroy\SDHelper.dll DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab TCP: DhcpNameServer = 192.168.0.1 TCP: Interfaces\{F0061557-86F8-415B-A507-E12E40F717B9} : DhcpNameServer = 192.168.0.1 Notify: AtiExtEvent - Ati2evxx.dll SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll Hosts: 127.0.0.1 www.spywareinfo.com . ================= FIREFOX =================== . FF - ProfilePath - c:\dokumente und einstellungen\daniela\anwendungsdaten\mozilla\firefox\profiles\iteswub4.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll FF - plugin: c:\programme\google\google updater\2.4.2432.1652\npCIDetect14.dll FF - plugin: c:\programme\google\update\1.3.21.99\npGoogleUpdate3.dll FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\microsoft\web platform installer\NPWPIDetector.dll FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll FF - plugin: c:\programme\nos\bin\np_gp.dll . ---- FIREFOX POLICIES ---- FF - user.js: yahoo.homepage.dontask - true);user_pref(extensions.BabylonToolbar_i.babTrack, affID=100482 FF - user.js: extensions.BabylonToolbar_i.babExt - FF - user.js: extensions.BabylonToolbar_i.srcExt - ss FF - user.js: extensions.BabylonToolbar_i.id - 34746dae0000000000000002e347d731 FF - user.js: extensions.BabylonToolbar_i.hardId - 34746dae0000000000000002e347d731 FF - user.js: extensions.BabylonToolbar_i.instlDay - 15357 FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17 FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17 FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1713:25:02 FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar FF - user.js: extensions.BabylonToolbar_i.aflt - babsst FF - user.js: extensions.BabylonToolbar_i.smplGrp - none FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9 FF - user.js: extensions.BabylonToolbar_i.instlRef - sst FF - user.js: extensions.funmoods_i.hmpg - true FF - user.js: extensions.funmoods_i.hmpgUrl - hxxp://start.funmoods.com/?f=1&a=ironto FF - user.js: extensions.funmoods_i.dfltSrch - true FF - user.js: extensions.funmoods_i.srchPrvdr - Search FF - user.js: extensions.funmoods_i.dnsErr - true FF - user.js: extensions.funmoods_i.newTab - true FF - user.js: extensions.funmoods_i.newTabUrl - hxxp://start.funmoods.com/?f=2&a=ironto FF - user.js: extensions.funmoods_i.tlbrSrchUrl - hxxp://start.funmoods.com/results.php?f=3&a=ironto&q= FF - user.js: extensions.funmoods_i.id - 34746dae0000000000000002e347d731 FF - user.js: extensions.funmoods_i.instlDay - 15357 FF - user.js: extensions.funmoods_i.vrsn - 1.5.11.1 FF - user.js: extensions.funmoods_i.vrsni - 1.5.11.1 FF - user.js: extensions.funmoods_i.vrsnTs - 1.5.11.113:27:47 FF - user.js: extensions.funmoods_i.prtnrId - funmoods FF - user.js: extensions.funmoods_i.prdct - funmoods FF - user.js: extensions.funmoods_i.aflt - ironto FF - user.js: extensions.funmoods_i.smplGrp - none FF - user.js: extensions.funmoods_i.tlbrId - base FF - user.js: extensions.funmoods_i.instlRef - FF - user.js: extensions.funmoods_i.dfltLng - FF - user.js: extensions.funmoods_i.excTlbr - false . ============= SERVICES / DRIVERS =============== . R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2009-7-22 11608] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2009-7-22 136360] R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2009-7-22 269480] R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-7-22 66616] R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [2005-11-15 200192] S1 mailKmd;mailKmd; [x] S2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\avira\antivir desktop\avwebgrd.exe [2011-7-3 428200] S2 gupdate1c9f7d27e437434;Google Update Service (gupdate1c9f7d27e437434);c:\programme\google\update\GoogleUpdate.exe [2009-6-28 133104] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2009-6-28 133104] . =============== Created Last 30 ================ . 2012-02-27 21:55:21 0 --sha-w- c:\windows\system32\dds_log_trash.cmd 2012-02-27 21:52:47 -------- d-sh--w- c:\dokumente und einstellungen\daniela\lokale einstellungen\anwendungsdaten\dd0e8541 2012-02-17 10:16:14 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll 2012-02-17 10:16:14 3072 ------w- c:\windows\system32\iacenc.dll . ==================== Find3M ==================== . 2012-02-17 10:13:47 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-01-12 17:20:28 1860096 ----a-w- c:\windows\system32\win32k.sys 2011-12-17 19:43:23 916992 ----a-w- c:\windows\system32\wininet.dll 2011-12-17 19:43:23 43520 ----a-w- c:\windows\system32\licmgr10.dll 2011-12-17 19:43:23 1469440 ----a-w- c:\windows\system32\inetcpl.cpl 2011-12-16 12:22:58 385024 ----a-w- c:\windows\system32\html.iec . ============= FINISH: 11:35:07,09 =============== Was muss ich tun? ![]() ![]() ![]() Herzliche Grüße Daniela |
Themen zu TR.RootkitGen2, TR.SirefefBP1, EXP/Java.Vedebi.Gen, TR.Atraps.Gen2 |
adobe, antivir, antivir guard, avg, avira, avira searchfree toolbar, beseitigung, dateien, desktop, dllcache, einstellungen, excel, explorer, firefox, home, internet, maßnahme, mozilla, notebook, passwort, pdf, plug-in, programme, svchost, system, tr.atraps.gen2, windows, windows xp, wlan |