Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.
"Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
Hallo allerseits,
leider habe ich mir offenbar vergangene Woche einen Trojaner eingefangen (Es erschien ein Screen, wonach ich zur Entfernung von Malware Geld bezahlen sollte). Nach einem Neustart konnte ich auf den PC wieder zugreifen, habe AntiVir laufen lassen und auch einen Schädling entdeckt und entfernen lassen. Damit dachte ich, es sei Ruhe.
Als ich aber nun einen Anruf meiner Bank bekam, dass es einen Phishing-Versuch auf meine Bankdaten gegeben habe, bin ich natürlich nervös geworden. (Online Banking ist nun gesperrt, Passwörter sind von einem sicheren Rechner alle geändert worden.)
Nach Suchläufen diverser Programme (Avast, Malwarebytes, SuperAntispyware) scheint das System eigentlich sauber zu sein. Einzig der ESET Online Scanner wird jedes Mal aufs Neue fündig: Er meldet „a variant of Win32/Kryptik.ADPW trojan“ in verschiedenen Varianten im Ordner AppData/Roaming (Log siehe unten). Er löscht diese Daten jedes Mal, sie werden aber offensichtlich umgehend unter verschiedenen Namen („Licensevalidator.exe“, „Upgradechecker.exe“, „Validator.exe“, „Upgrade.exe“) in scheinbar zufällig gewählten Unterordnern von AppData/Roaming neu generiert. Auch im Autostart sind diese Einträge vorhanden. Lösche ich einen (mit CCCleaner), erscheint umgehend ein neuer.
Die entsprechenden Dateien sind in der Unterordnern auch tatsächlich vorhanden. Sämtliche Virenscanner abgesehen von ESET finden dort aber nichts.
ESET weist auch auf eine Variante von „Win32/Gataka.A trojan“ in der operating memory hin, die er nicht entfernen kann. Kann das die Ursache sein?
Daher nun meine Bitte um Hilfe. Kann man da abgesehen von einer Formatierung noch etwas machen? Das Problem ist, dass ich in den nächsten zwei Wochen nicht zuhause bin und daher keine Datensicherung vornehmen kann.
Beste Grüße und vielen Dank im Voraus!
Alex
Hier das ESET log:
Zitat:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=31fff41c51fc444e9728e08708d99360
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-03 12:43:32
# local_time=2012-04-03 02:43:32 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6000 NT
# compatibility_mode=1792 16777191 100 0 427906 427906 0 0
# compatibility_mode=5892 16776573 100 100 27892022 170983939 0 0
# compatibility_mode=8192 67108863 100 0 1397 1397 0 0
# scanned=140257
# found=20
# cleaned=19
# scan_time=5802
C:\Users\Alex\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\19cf9356-19c43f5f probably a variant of Java/TrojanDownloader.Agent.AB trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Adobe\{EC787761-13EC-480D-978B-575471DE987F}\LicenseValidator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Google Inc\{0194D3E4-D4C0-4CE8-AA89-31C902AF3176}\UpgradeChecker.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Google Inc\{2501433C-EDB7-4399-8877-F27F883D517E}\UpgradeChecker.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Identities\{100342A0-777E-4A23-A516-3806DDDAB369}\LicenseValidator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Identities\{1AAAB39D-2043-4661-AD9B-7E65EA8DB077}\LicenseValidator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Identities\{26A8BC7A-9985-4CF2-B720-FD60AC81AC22}\LicenseValidator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Identities\{754D27FD-3FF4-4CF0-9CF8-2620EDEA94EB}\LicenseValidator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Identities\{FD4DA133-E1BB-4F2E-BCAC-FAF3AFF3107A}\LicenseValidator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Opera\{4D76FC61-5EDA-44D9-96B3-A483CBFF31AB}\Upgrade.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Opera\{80DE4091-54BD-493F-8D99-CD03F43FF8A4}\Upgrade.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Sun\{1B05AE38-A996-4FE7-8A15-1CE3289C0E97}\Validator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Sun\{46159699-BB59-4F98-B4AB-C36D544560DA}\Validator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\TeamViewer\{1FDAAF84-6A28-42E8-964C-EBDEF13A17E2}\UpgradeHelper.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\TeamViewer\{48FC05F0-5925-47E8-917F-B7B76858BE79}\UpgradeChecker.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\TeamViewer\{C9960182-3FB1-485D-BDE9-9A6D5CF37BBE}\UpgradeChecker.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\TeamViewer\{D6078D1D-DA99-4DBB-B712-A43F4183CA92}\UpgradeHelper.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Windows Desktop Search\{163F67E3-9DBD-4A6A-A179-2217C1F71270}\LicenseValidator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Windows Desktop Search\{FEC4300F-7B0C-424A-89D5-644C919A653D}\LicenseValidator.exe a variant of Win32/Kryptik.ADNX trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
${Memory} a variant of Win32/Gataka.A trojan 00000000000000000000000000000000 I
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=31fff41c51fc444e9728e08708d99360
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-03 04:18:33
# local_time=2012-04-03 06:18:33 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6000 NT
# compatibility_mode=1792 16777191 100 0 436507 436507 0 0
# compatibility_mode=5892 16776573 100 100 27900623 170996140 0 0
# compatibility_mode=8192 67108863 100 0 9998 9998 0 0
# scanned=139496
# found=7
# cleaned=6
# scan_time=6518
C:\Users\Alex\AppData\Roaming\Google Inc\{862AED70-4347-46C0-AED2-3C7ECC6ED589}\UpgradeChecker.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Identities\{47D3F481-2E59-41CE-ABEE-663FB00B06C9}\LicenseValidator.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Opera\{55BA2FAA-513D-4177-8B5E-75FBC26B0498}\Upgrade.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Skype\{AD31538F-CC3F-459D-96A9-8D27699FAD5C}\LicenseValidator.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Sun\{6CEBBEF3-C3B1-4302-BA17-4A24ADB31D69}\Validator.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Windows Desktop Search\{7B0AA734-79BD-49CA-931C-BD70DC730703}\LicenseValidator.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
${Memory} a variant of Win32/Gataka.A trojan 00000000000000000000000000000000 I
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=31fff41c51fc444e9728e08708d99360
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-04-03 06:24:13
# local_time=2012-04-03 08:24:13 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6000 NT
# compatibility_mode=1792 16777191 100 0 444951 444951 0 0
# compatibility_mode=5892 16776573 100 100 27909067 171004584 0 0
# compatibility_mode=8192 67108863 100 0 18442 18442 0 0
# scanned=139450
# found=3
# cleaned=2
# scan_time=5617
C:\TDSSKiller_Quarantine\03.04.2012_18.33.43\rtkt0000\svc0000\tsk0000.dta Win32/Agent.SUC.Gen trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\TeamViewer\{508812D6-0359-42E3-AB4C-1E4532A93B5B}\Validator.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
${Memory} a variant of Win32/Gataka.A trojan 00000000000000000000000000000000 I
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=31fff41c51fc444e9728e08708d99360
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-04-03 08:12:33
# local_time=2012-04-03 10:12:33 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6000 NT
# compatibility_mode=1792 16777191 100 0 451072 451072 0 0
# compatibility_mode=5892 16776573 100 100 27915188 171010705 0 0
# compatibility_mode=8192 67108863 100 0 24563 24563 0 0
# scanned=127642
# found=7
# cleaned=6
# scan_time=5975
C:\Users\Alex\AppData\Roaming\Google Inc\{02031E6E-AD91-4D47-BA70-322491C07CBA}\UpgradeChecker.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Identities\{9B0BAE00-C0B5-412F-8B9A-D3D26332B593}\LicenseValidator.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Opera\{3A518B6F-BD8C-41B3-B052-51A66AAC961C}\Upgrade.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Sun\{8DB6EBA3-6833-4411-A2B5-5AE4CB71E75E}\Validator.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\TeamViewer\{624E8EA1-E3E7-432A-A951-6E583A3B9EF5}\UpgradeChecker.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Alex\AppData\Roaming\Windows Desktop Search\{2DE58D2D-F234-4DD7-AB2D-AE889FDD80D3}\LicenseValidator.exe a variant of Win32/Kryptik.ADPW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
${Memory} a variant of Win32/Gataka.A trojan 00000000000000000000000000000000 I
Habe vorhin dann nochmal Avira komplett durchlaufen lassen, auch dort keine neuen Funde:
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 5. April 2012 17:13
Es wird nach 3584129 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.0.6000]
Boot Modus : Normal gebootet
Benutzername : Alex
Computername : ALEX-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 29.03.2012 14:30:55
AVSCAN.DLL : 12.1.0.18 65744 Bytes 29.03.2012 14:30:55
LUKE.DLL : 12.1.0.19 68304 Bytes 29.03.2012 14:30:56
AVSCPLR.DLL : 12.1.0.22 99848 Bytes 29.03.2012 14:30:57
AVREG.DLL : 12.1.0.33 228104 Bytes 03.04.2012 10:20:26
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:30:35
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:30:42
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:30:46
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 14:30:46
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 14:30:46
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 14:30:47
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 14:30:47
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 14:30:47
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 14:30:47
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 14:30:47
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 14:30:48
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 14:30:48
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 17:24:58
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 10:20:22
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 09:03:28
VBASE017.VDF : 7.11.26.242 2048 Bytes 04.04.2012 09:03:28
VBASE018.VDF : 7.11.26.243 2048 Bytes 04.04.2012 09:03:29
VBASE019.VDF : 7.11.26.244 2048 Bytes 04.04.2012 09:03:29
VBASE020.VDF : 7.11.26.245 2048 Bytes 04.04.2012 09:03:29
VBASE021.VDF : 7.11.26.246 2048 Bytes 04.04.2012 09:03:29
VBASE022.VDF : 7.11.26.247 2048 Bytes 04.04.2012 09:03:29
VBASE023.VDF : 7.11.26.248 2048 Bytes 04.04.2012 09:03:29
VBASE024.VDF : 7.11.26.249 2048 Bytes 04.04.2012 09:03:30
VBASE025.VDF : 7.11.26.250 2048 Bytes 04.04.2012 09:03:30
VBASE026.VDF : 7.11.26.251 2048 Bytes 04.04.2012 09:03:30
VBASE027.VDF : 7.11.26.252 2048 Bytes 04.04.2012 09:03:30
VBASE028.VDF : 7.11.26.253 2048 Bytes 04.04.2012 09:03:30
VBASE029.VDF : 7.11.26.254 2048 Bytes 04.04.2012 09:03:31
VBASE030.VDF : 7.11.26.255 2048 Bytes 04.04.2012 09:03:31
VBASE031.VDF : 7.11.27.14 14336 Bytes 04.04.2012 09:03:32
Engineversion : 8.2.10.38
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 12:59:36
AESCRIPT.DLL : 8.1.4.16 446842 Bytes 05.04.2012 09:04:25
AESCN.DLL : 8.1.8.2 131444 Bytes 29.03.2012 14:30:54
AESBX.DLL : 8.2.5.5 606579 Bytes 29.03.2012 14:30:55
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 22:31:02
AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 17:26:56
AEOFFICE.DLL : 8.1.2.27 201082 Bytes 05.04.2012 09:04:20
AEHEUR.DLL : 8.1.4.12 4604278 Bytes 05.04.2012 09:04:17
AEHELP.DLL : 8.1.19.1 254327 Bytes 03.04.2012 10:20:25
AEGEN.DLL : 8.1.5.23 409973 Bytes 29.03.2012 14:30:51
AEEXP.DLL : 8.1.0.28 82292 Bytes 05.04.2012 09:04:26
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 22:30:58
AECORE.DLL : 8.1.25.6 201078 Bytes 29.03.2012 14:30:51
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 22:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 12:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 29.03.2012 14:30:55
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 12:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 12:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 12:59:59
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Donnerstag, 5. April 2012 17:13
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'Alternative Flash Player Auto-Updater.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvastUI.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvastSvc.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '145' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1180' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <System>
Beginne mit der Suche in 'D:\' <DATA>
Ende des Suchlaufs: Donnerstag, 5. April 2012 18:37
Benötigte Zeit: 1:24:41 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
16958 Verzeichnisse wurden überprüft
429197 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
429197 Dateien ohne Befall
12039 Archive wurden durchsucht
0 Warnungen
0 Hinweise
445928 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Im Autostart sind die Einträge "Licensevalidor.exe" etc. jetzt auch verschwunden. Kann man davon ausgehen, dass das Ding jetzt gekillt wurde..? Sollte ich trotzdem formatieren, sobald ich die Möglichkeit dazu habe?
Sorry für die etwas chaotischen Posts! Ich hoffe, du kannst damit trotzdem was anfangen!
"Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
Hätte da mal zwei Fragen bevor es weiter geht
1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten
"Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
Der normale Modus läuft soweit problemlos. Das System war zwischenzeitlich ziemlich langsam, mittlerweile gehts aber wieder weitgehend normal.
Startmenü sieht mir ok aus, da scheint alles da zu sein. Leere Ordner habe ich auch keine entdeckt.
Ansonsten wäre das einzige, was mir in letzter Zeit aufgefallen ist, dass Firefox einige Zertifikate, z.B. von Facebook, nicht mehr akzeptieren wollte. Nachdem ich eine Ausnahme hinzugefügt habe, wurde die Seite trotzdem nicht korrekt angezeigt. Das Problem hatte ich auch mit einigen weiteren Seiten. Nach ein paar Tagen ging aber alles wieder normal.
Davon abgesehen hat eigentlich alles normal funktioniert.
"Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten
"Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
Zitat:
C:\TDSSKiller_Quarantine\03.04.2012_18.33.43\rtkt0000\svc0000\tsk0000.dta Win32/Agent.SUC.Gen trojan (deleted - quarantined) 00000000000000000000000000000000 C
Warum hast du schon was mit dem TDSS-Killer gemacht? Eine falsche Benutzung kann einiges kaputtmachen! POste das Log dazu, es sollte direkt auf C: sein
__________________ Logfiles bitte immer in CODE-Tags posten
Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen. Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________ Logfiles bitte immer in CODE-Tags posten
Gerade bevor ich das starten wollte hat der Avira Echtzeit Scanner auch plötzlich wieder was gemeldet. Fand ich vor allem merkwürdig, weil er das in einem Avast Ordner gefunden haben will...
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 6. April 2012 19:04
Es wird nach 3596453 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.0.6000]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ALEX-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 29.03.2012 14:30:55
AVSCAN.DLL : 12.1.0.18 65744 Bytes 29.03.2012 14:30:55
LUKE.DLL : 12.1.0.19 68304 Bytes 29.03.2012 14:30:56
AVSCPLR.DLL : 12.1.0.22 99848 Bytes 29.03.2012 14:30:57
AVREG.DLL : 12.1.0.36 229128 Bytes 06.04.2012 09:06:29
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:31:49
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:30:35
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:30:42
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:30:46
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 14:30:46
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 14:30:46
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 14:30:47
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 14:30:47
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 14:30:47
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 14:30:47
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 14:30:47
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 14:30:48
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 14:30:48
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 17:24:58
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 10:20:22
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 09:03:28
VBASE017.VDF : 7.11.26.242 2048 Bytes 04.04.2012 09:03:28
VBASE018.VDF : 7.11.26.243 2048 Bytes 04.04.2012 09:03:29
VBASE019.VDF : 7.11.26.244 2048 Bytes 04.04.2012 09:03:29
VBASE020.VDF : 7.11.26.245 2048 Bytes 04.04.2012 09:03:29
VBASE021.VDF : 7.11.26.246 2048 Bytes 04.04.2012 09:03:29
VBASE022.VDF : 7.11.26.247 2048 Bytes 04.04.2012 09:03:29
VBASE023.VDF : 7.11.26.248 2048 Bytes 04.04.2012 09:03:29
VBASE024.VDF : 7.11.26.249 2048 Bytes 04.04.2012 09:03:30
VBASE025.VDF : 7.11.26.250 2048 Bytes 04.04.2012 09:03:30
VBASE026.VDF : 7.11.26.251 2048 Bytes 04.04.2012 09:03:30
VBASE027.VDF : 7.11.26.252 2048 Bytes 04.04.2012 09:03:30
VBASE028.VDF : 7.11.26.253 2048 Bytes 04.04.2012 09:03:30
VBASE029.VDF : 7.11.26.254 2048 Bytes 04.04.2012 09:03:31
VBASE030.VDF : 7.11.26.255 2048 Bytes 04.04.2012 09:03:31
VBASE031.VDF : 7.11.27.32 186368 Bytes 06.04.2012 09:06:29
Engineversion : 8.2.10.38
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.12.2011 12:59:36
AESCRIPT.DLL : 8.1.4.16 446842 Bytes 05.04.2012 09:04:25
AESCN.DLL : 8.1.8.2 131444 Bytes 29.03.2012 14:30:54
AESBX.DLL : 8.2.5.5 606579 Bytes 29.03.2012 14:30:55
AERDL.DLL : 8.1.9.15 639348 Bytes 14.12.2011 22:31:02
AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 17:26:56
AEOFFICE.DLL : 8.1.2.27 201082 Bytes 05.04.2012 09:04:20
AEHEUR.DLL : 8.1.4.12 4604278 Bytes 05.04.2012 09:04:17
AEHELP.DLL : 8.1.19.1 254327 Bytes 03.04.2012 10:20:25
AEGEN.DLL : 8.1.5.23 409973 Bytes 29.03.2012 14:30:51
AEEXP.DLL : 8.1.0.28 82292 Bytes 05.04.2012 09:04:26
AEEMU.DLL : 8.1.3.0 393589 Bytes 14.12.2011 22:30:58
AECORE.DLL : 8.1.25.6 201078 Bytes 29.03.2012 14:30:51
AEBB.DLL : 8.1.1.0 53618 Bytes 14.12.2011 22:30:58
AVWINLL.DLL : 12.1.0.17 27344 Bytes 15.12.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 15.12.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 15.12.2011 12:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 29.03.2012 14:30:55
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 15.12.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 15.12.2011 12:59:50
AVSMTP.DLL : 12.1.0.17 62928 Bytes 15.12.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 15.12.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 15.12.2011 12:59:58
RCTEXT.DLL : 12.1.0.16 98512 Bytes 15.12.2011 12:59:59
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f7f20fc\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Freitag, 6. April 2012 19:04
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Alternative Flash Player Auto-Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvastUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AvastSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Windows\Temp\_avast_\unp207751337.tmp'
C:\Windows\Temp\_avast_\unp207751337.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Desinfektion:
C:\Windows\Temp\_avast_\unp207751337.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b698cdb.qua' verschoben!
Ende des Suchlaufs: Freitag, 6. April 2012 19:05
Benötigte Zeit: 00:13 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
48 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
47 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
Die Suchergebnisse werden an den Guard übermittelt.
Zum Thema "Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan" - Hallo allerseits,
leider habe ich mir offenbar vergangene Woche einen Trojaner eingefangen (Es erschien ein Screen, wonach ich zur Entfernung von Malware Geld bezahlen sollte). Nach einem Neustart konnte ich - "Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"...
04.04.2012, 11:04
Textbox von OTL - wenn OTL auf deutsch ist wird sie mit 
beschriftet
.
Linear-Darstellung
