|
Plagegeister aller Art und deren Bekämpfung: BKA-Virus/TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.04.2012, 08:42 | #1 |
| BKA-Virus/Trojaner guten tag zusammen, habe mir eure regeln durchgelesen und auch versucht, schon etwas allein zu machen. da ich aber außerhalb der benutzeroberfläche verunsichert bin ode rmich da nicht auskenne, würd eich mich über unterstützung freuen. am 31.03.2012 habe ich mir den BKA-Virus eingefangen. habe zwei benutzerkonten auf meinem rechner. betriebssystem win xp. das benutzerkonto 1 war aktiv als ich den virus einfing. das bild frierte mit der zahlungsaufforderung und der meldung der sperre des betriebsystems ein. [ich war nicht auf schlimmen seiten, das ist mir wichtig zu betonen!). bin dann so vorgegangen: - kaltstart - folge war, dass ich benutzerkonto 1 nicht mehr aufrufen konnte, da diese meldung festgefroren war. auf benutzerkonto zwei konto ich daher auch nicht zugreifen. - wieder kaltstart und gleich in benutzerkonto 2 gegangen und virensoftware (antivir) durchlaufen lassen (kompletter systemdurchlauf). das hat auch funktioniert und es waren zwei anzeigen, die ich in die quarantäne geschoben habe. welche es waren, kann ich derzeit nicht sagen, weil ich nicht weiß wo die quarantäne ist. jetzt konnto ich wieder in das benutzerkonto 1. dort ließ ich dann den virenscanner wieder laufen, da kam dann nichts mehr. habe gesehen, dass der virus im autostart war. bevor ich ihn löschen konnte, war ich wieder gesperrt. wieder kaltstart und über das andere konto rein. wieder virencann und wieder in die quarantäne geschoben. konnte dann wieder in das erste konto. ab jetzt aber nicht mehr in den taskmanger, der durch den admin deaktiviert sein soll. und ab jetzt verstehe ich die anleitungen nicht mehr. kann mir jemand schritt für schritt helfen? ich fühle mich wegen der sehr speziellen vorgehensweise (und der vielen möglichkeiten) etwas überfordert. *schäm* kann aber auch verstehen, wenn solche "fangen wir bei adam und eva an" anleitungen hier abgelehnt werden. wäre aber schön, wenn sich einer erbarmt. bin nicht zu blöd, aber eben kein pc-profi, doch mit office kann ich recht gut umgehen. liebe grüße seven habe jetzt den quarantänebericht gefunden: Avira Free Antivirus Erstellungsdatum der Reportdatei: Montag, 2. April 2012 19:12 Es wird nach 3572891 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Firma Computername : PC_XP Versionsinformationen: BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00 AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 13:16:11 AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 13:16:09 LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 13:16:12 AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 13:16:14 AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 13:16:13 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 02:46:59 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:19:10 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 19:32:56 VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 19:32:56 VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 19:32:56 VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 19:32:56 VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 19:32:56 VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 19:32:56 VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 19:32:56 VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 19:32:56 VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 19:32:57 VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 19:32:57 VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 19:32:57 VBASE015.VDF : 7.11.26.108 2048 Bytes 30.03.2012 19:32:57 VBASE016.VDF : 7.11.26.109 2048 Bytes 30.03.2012 19:32:57 VBASE017.VDF : 7.11.26.110 2048 Bytes 30.03.2012 19:32:57 VBASE018.VDF : 7.11.26.111 2048 Bytes 30.03.2012 19:32:57 VBASE019.VDF : 7.11.26.112 2048 Bytes 30.03.2012 19:32:57 VBASE020.VDF : 7.11.26.113 2048 Bytes 30.03.2012 19:32:57 VBASE021.VDF : 7.11.26.114 2048 Bytes 30.03.2012 19:32:57 VBASE022.VDF : 7.11.26.115 2048 Bytes 30.03.2012 19:32:58 VBASE023.VDF : 7.11.26.116 2048 Bytes 30.03.2012 19:32:58 VBASE024.VDF : 7.11.26.117 2048 Bytes 30.03.2012 19:32:58 VBASE025.VDF : 7.11.26.118 2048 Bytes 30.03.2012 19:32:58 VBASE026.VDF : 7.11.26.119 2048 Bytes 30.03.2012 19:32:58 VBASE027.VDF : 7.11.26.120 2048 Bytes 30.03.2012 19:32:58 VBASE028.VDF : 7.11.26.121 2048 Bytes 30.03.2012 19:32:58 VBASE029.VDF : 7.11.26.122 2048 Bytes 30.03.2012 19:32:58 VBASE030.VDF : 7.11.26.123 2048 Bytes 30.03.2012 19:32:58 VBASE031.VDF : 7.11.26.144 203776 Bytes 01.04.2012 19:32:58 Engineversion : 8.2.10.34 AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36 AESCRIPT.DLL : 8.1.4.15 442747 Bytes 01.04.2012 19:33:01 AESCN.DLL : 8.1.8.2 131444 Bytes 28.01.2012 13:16:26 AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 11:38:37 AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02 AEPACK.DLL : 8.2.16.9 807287 Bytes 01.04.2012 19:33:01 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 20.01.2012 02:47:05 AEHEUR.DLL : 8.1.4.10 4551031 Bytes 01.04.2012 19:33:00 AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 02:47:03 AEGEN.DLL : 8.1.5.23 409973 Bytes 12.03.2012 11:38:34 AEEXP.DLL : 8.1.0.27 82293 Bytes 01.04.2012 19:33:01 AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58 AECORE.DLL : 8.1.25.6 201078 Bytes 18.03.2012 17:00:50 AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58 AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41 AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38 AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38 AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 13:16:09 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37 SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50 AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39 NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58 RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, F:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 2. April 2012 19:12 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'logon.scr' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '104' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'versatel.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'FriFax32.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'IWatch.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchSettings.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '126' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '91' Modul(e) wurden durchsucht Durchsuche Prozess 'DBService.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'ApplicationUpdater.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '164' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '384' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HD> C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\P76VWLM5\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\P76VWLM5\91_232_29_111[2].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\44ODPTHZ\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\44ODPTHZ\91_232_29_111[2].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\44ODPTHZ\91_232_29_111[4].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AOM17543\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP Beginne mit der Suche in 'D:\' <Backup> Beginne mit der Suche in 'F:\' <INTENSO> F:\System Volume Information\_restore{378D769D-AE72-46E2-B361-B11DB8D0A167}\RP649\A0072612.exe [FUND] Ist das Trojanische Pferd TR/Gendal.6015454 Beginne mit der Desinfektion: F:\System Volume Information\_restore{378D769D-AE72-46E2-B361-B11DB8D0A167}\RP649\A0072612.exe [FUND] Ist das Trojanische Pferd TR/Gendal.6015454 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c6caf5e.qua' verschoben! C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AOM17543\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548880fa.qua' verschoben! C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\44ODPTHZ\91_232_29_111[4].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '06d7da12.qua' verschoben! C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\44ODPTHZ\91_232_29_111[2].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '60e095d0.qua' verschoben! C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\44ODPTHZ\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2564b8ee.qua' verschoben! C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\P76VWLM5\91_232_29_111[2].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a7f8a8e.qua' verschoben! C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\P76VWLM5\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '16c7a6c4.qua' verschoben! Ende des Suchlaufs: Montag, 2. April 2012 22:24 Benötigte Zeit: 2:34:16 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 14558 Verzeichnisse wurden überprüft 928575 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 7 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 928568 Dateien ohne Befall 17939 Archive wurden durchsucht 0 Warnungen 7 Hinweise 495230 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden und zwei stunden vor dem oberen suchlauf: Beginne mit der Suche in 'C:\System Volume Information\_restore{378D769D-AE72-46E2-B361-B11DB8D0A167}\RP695\A0084770.exe' C:\System Volume Information\_restore{378D769D-AE72-46E2-B361-B11DB8D0A167}\RP695\A0084770.exe [FUND] Ist das Trojanische Pferd TR/Gataka.C [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c7b45db.qua' verschoben! die temporären datein hatte ich vorher schon gelöscht, das mache ich fast täglich. diese viren sind alle nach diesen problemen am 31.03.2012 aufgetaucht. taskmanger ist weiterhin deaktiviert. der nächste Avira Free Antivirus Erstellungsdatum der Reportdatei: Sonntag, 1. April 2012 16:43 Es wird nach 3603312 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : PC_XP Versionsinformationen: BUILD.DAT : 12.0.0.898 41963 Bytes 31.1.2012 13:51:00 AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.2.2012 13:16:11 AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.2.2012 13:16:09 LUKE.DLL : 12.1.0.19 68304 Bytes 15.2.2012 13:16:12 AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.2.2012 13:16:14 AVREG.DLL : 12.1.0.29 228048 Bytes 15.2.2012 13:16:13 VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:31:49 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 02:46:59 VBASE003.VDF : 7.11.21.238 4472832 Bytes 1.2.2012 13:19:10 VBASE004.VDF : 7.11.21.239 2048 Bytes 1.2.2012 13:21:58 VBASE005.VDF : 7.11.21.240 2048 Bytes 1.2.2012 13:21:58 VBASE006.VDF : 7.11.21.241 2048 Bytes 1.2.2012 13:21:58 VBASE007.VDF : 7.11.21.242 2048 Bytes 1.2.2012 13:21:58 VBASE008.VDF : 7.11.21.243 2048 Bytes 1.2.2012 13:21:58 VBASE009.VDF : 7.11.21.244 2048 Bytes 1.2.2012 13:21:58 VBASE010.VDF : 7.11.21.245 2048 Bytes 1.2.2012 13:21:58 VBASE011.VDF : 7.11.21.246 2048 Bytes 1.2.2012 13:21:58 VBASE012.VDF : 7.11.21.247 2048 Bytes 1.2.2012 13:21:58 VBASE013.VDF : 7.11.22.33 1486848 Bytes 3.2.2012 13:22:00 VBASE014.VDF : 7.11.22.56 687616 Bytes 3.2.2012 13:17:38 VBASE015.VDF : 7.11.22.92 178176 Bytes 6.2.2012 13:15:55 VBASE016.VDF : 7.11.22.154 144896 Bytes 8.2.2012 13:16:14 VBASE017.VDF : 7.11.22.220 183296 Bytes 13.2.2012 13:16:06 VBASE018.VDF : 7.11.23.34 202752 Bytes 15.2.2012 13:16:41 VBASE019.VDF : 7.11.23.98 126464 Bytes 17.2.2012 17:00:45 VBASE020.VDF : 7.11.23.150 148480 Bytes 20.2.2012 17:01:22 VBASE021.VDF : 7.11.23.224 172544 Bytes 23.2.2012 17:00:36 VBASE022.VDF : 7.11.24.52 219648 Bytes 28.2.2012 17:01:15 VBASE023.VDF : 7.11.24.152 165888 Bytes 5.3.2012 11:36:43 VBASE024.VDF : 7.11.24.204 177664 Bytes 7.3.2012 11:38:33 VBASE025.VDF : 7.11.25.30 245248 Bytes 12.3.2012 17:00:48 VBASE026.VDF : 7.11.25.121 252416 Bytes 15.3.2012 17:00:49 VBASE027.VDF : 7.11.25.177 202752 Bytes 20.3.2012 18:03:47 VBASE028.VDF : 7.11.25.233 169984 Bytes 23.3.2012 18:03:47 VBASE029.VDF : 7.11.25.234 2048 Bytes 23.3.2012 18:03:47 VBASE030.VDF : 7.11.25.235 2048 Bytes 23.3.2012 18:03:47 VBASE031.VDF : 7.11.26.8 185856 Bytes 26.3.2012 16:01:25 Engineversion : 8.2.10.28 AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 13:59:36 AESCRIPT.DLL : 8.1.4.13 442746 Bytes 24.3.2012 18:03:51 AESCN.DLL : 8.1.8.2 131444 Bytes 28.1.2012 13:16:26 AESBX.DLL : 8.2.5.5 606579 Bytes 12.3.2012 11:38:37 AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 23:31:02 AEPACK.DLL : 8.2.16.7 803190 Bytes 24.3.2012 18:03:51 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 20.1.2012 02:47:05 AEHEUR.DLL : 8.1.4.8 4514165 Bytes 24.3.2012 18:03:50 AEHELP.DLL : 8.1.19.0 254327 Bytes 20.1.2012 02:47:03 AEGEN.DLL : 8.1.5.23 409973 Bytes 12.3.2012 11:38:34 AEEXP.DLL : 8.1.0.25 74101 Bytes 18.3.2012 17:00:54 AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 23:30:58 AECORE.DLL : 8.1.25.6 201078 Bytes 18.3.2012 17:00:50 AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 23:30:58 AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 13:59:41 AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 13:59:38 AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 13:59:38 AVARKT.DLL : 12.1.0.23 209360 Bytes 15.2.2012 13:16:09 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 13:59:37 SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 13:59:50 AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 13:59:39 NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 13:59:47 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 13:59:58 RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 13:59:59 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 1. April 2012 16:43 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'logon.scr' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'OSPPSVC.EXE' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'versatel.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'FriFax32.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'IWatch.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchSettings.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '127' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '91' Modul(e) wurden durchsucht Durchsuche Prozess 'DBService.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'ApplicationUpdater.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '385' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <HD> C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BF7P8G94\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CKCTYH18\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP Beginne mit der Suche in 'D:\' <Backup> Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CKCTYH18\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c96091d.qua' verschoben! C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BF7P8G94\91_232_29_111[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '540126bb.qua' verschoben! Ende des Suchlaufs: Sonntag, 1. April 2012 21:31 Benötigte Zeit: 2:21:44 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 13322 Verzeichnisse wurden überprüft 797742 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 797740 Dateien ohne Befall 17107 Archive wurden durchsucht 0 Warnungen 2 Hinweise 503520 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden da bin ich noch mal, habe den bka 1.3; 1.9 oder 1.10. so genau kann ich das nicht sagen, weil sie sich so ähnlich sehen. wenn man die kostenpfichtige variante des antivir nimmt, ob die mit dem virus klar kommt? hat da jemand erfahrung? ich habe die kostenfreie variante. da der virusscanner heute morgen keinen virus mehr angezeigt hat, ob ich ihn jetzt habe? andererseits ist eben der taskmanager deaktiviert. deutet das darauf hin, dass ich ihn noch habe? vielel dank für eure hilfe! liebe grüße seven wie kann ich meinen benutzernamen aus den oberen virenberichten löschen und die registrierungsnummern und so? dann habe ich den cleaner über den rechner laufen lassen. er zeigte 25 befallene bereiche in 9 dateien an. 5 wurden entfernt. diese viren zeigt er an. TR/Crypt.Xpack.Gen TR/Dldr.Agent.lyg.11 TR/Dldr.Agent.lyg.11 TR/Reveton.A.31 EXP/2012-0507.D.1. EXP/2012-0507.D.1. EXP/2012-0507.D.1. TR/Dropper.Gen TR/Krytpik.ADJJ lasse den cleaner jetzt noch mal laufen und schaue, welche weg sind. der EXP-bereich ist der BKA-virus, oder? zumindest kann ich auf meine beiden benutzerkonten zugreifen. der avira antivir meldet jetzt - keine viren - aber der cleaner eben schon. und weiterhin kann ich nicht auf den taskmanager zugreifen. Geändert von Sevenof4 (03.04.2012 um 09:23 Uhr) |
04.04.2012, 13:44 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | BKA-Virus/Trojaner Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ |
Themen zu BKA-Virus/Trojaner |
aktiv, antivir, anzeige, anzeigen, aufrufe, autostart, benutzerkonten, benutzerkonto, betriebssystem, bild, blöd, deaktiviert, dllhost.exe, folge, funktioniert, keine viren, löschen, meldung, nicht mehr, nt.dll, office, scan, seite, seiten, software, start, verweise, virenscanner, wichtig, win |