|
Plagegeister aller Art und deren Bekämpfung: Antivir findet TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.06.2012, 18:31 | #1 |
| Antivir findet Trojaner Anhang 36799 Hallo, ich bin neu im Forum und brauche jetzt Hilfe, mein Antivir hat folgende Funde gemacht. Was kann ich tun? In der Datei 'C:\Dokumente und Einstellungen\benutzer\Lokale Einstellungen\Anwendungsdaten\{e484cca8-67d1-490d-9adc-4b44b3955f60}\U\80000000.@' wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.AG.35' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\benutzer\Lokale Einstellungen\Anwendungsdaten\{e484cca8-67d1-490d-9adc-4b44b3955f60}\U\800000cb.@' wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen2' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'C:\Dokumente und Einstellungen\benutzer\Lokale Einstellungen\Anwendungsdaten\{e484cca8-67d1-490d-9adc-4b44b3955f60}\U\00000001.@' wurde ein Virus oder unerwünschtes Programm 'TR/Small.FI' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Danke für eine individuelle Hilfe |
01.07.2012, 16:46 | #2 |
| Virus oder unerwünschtes Programm 'TR/Sirefef.P.875' [trojan] gefunden. Hallo liebe Helfer,
__________________wie bei so vielen Fragenden, hat bei mir Avira den TR/Atraps.Gen2 und TR/Sirefelag.35 sowie TR/Small.F gefunden. habe gestern gemäß Anleitung OTL Quickscan durchgeführt, danach noch heute den Gmerscan gemacht siehe Anhang, hoffe dass ich jetzt aller richtig gemacht habe, kenn mich nicht so gut aus. Während ich das ganze durchführe, poppt gerade die Meldung von Antivir auf: In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\{e484cca8-67d1-490d-9adc-4b44b3955f60}\n' wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.P.875' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Ist mein Computer noch zu retten, oder soll ich mir gleich einen neuen kaufen? Wer kann mir helfen dass System zu bereinigen. Danke für die Hilfe! Code:
ATTFilter OTL logfile created on: 30.06.2012 18:03:10 - Run 1 OTL by OldTimer - Version 3.2.53.0 Folder = C:\Dokumente und Einstellungen\benutzer\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 382,42 Mb Total Physical Memory | 239,72 Mb Available Physical Memory | 62,69% Memory free 921,15 Mb Paging File | 647,96 Mb Available in Paging File | 70,34% Paging File free Paging file location(s): C:\pagefile.sys 576 1152 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 19,01 Gb Total Space | 10,34 Gb Free Space | 54,41% Space Free | Partition Type: NTFS Computer Name: PRIVAT | User Name: benutzer | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.06.30 17:58:17 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\benutzer\Desktop\OTL.exe PRC - [2012.01.03 09:37:53 | 000,843,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe PRC - [2011.06.28 21:57:58 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.05.06 10:43:49 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.12.13 09:39:19 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.01.15 14:49:20 | 000,255,536 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2008.11.09 22:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe PRC - [2008.08.04 01:02:20 | 000,036,352 | ---- | M] () -- C:\Programme\Winamp\winampa.exe PRC - [2008.01.22 08:00:00 | 000,188,928 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIEJE.EXE PRC - [2006.11.17 15:16:10 | 000,050,736 | ---- | M] (America Online, Inc.) -- C:\Programme\Gemeinsame Dateien\aol\1177755743\ee\aolsoftware.exe PRC - [2006.10.23 14:50:35 | 000,046,640 | R--- | M] (AOL LLC) -- C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe PRC - [2004.08.04 01:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2004.05.10 22:05:50 | 000,156,784 | -H-- | M] (America Online, Inc.) -- C:\Programme\AOL 9.0\aoltray.exe PRC - [2003.10.24 12:08:56 | 000,119,808 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\MDM.EXE PRC - [2003.08.27 11:29:46 | 000,065,536 | ---- | M] (America Online, Inc.) -- C:\WINDOWS\wanmpsvc.exe Code:
ATTFilter OTL Extras logfile created on: 30.06.2012 18:03:10 - Run 1 OTL by OldTimer - Version 3.2.53.0 Folder = C:\Dokumente und Einstellungen\benutzer\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 382,42 Mb Total Physical Memory | 239,72 Mb Available Physical Memory | 62,69% Memory free 921,15 Mb Paging File | 647,96 Mb Available in Paging File | 70,34% Paging File free Paging file location(s): C:\pagefile.sys 576 1152 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 19,01 Gb Total Space | 10,34 Gb Free Space | 54,41% Space Free | Partition Type: NTFS Computer Name: PRIVAT | User Name: benutzer | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* .url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation) InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft) Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft) Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 1 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{225AF9A1-B556-88D5-94AA-0010B5426419}" = My DSC "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 20 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0 "{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9A97D672-6C93-4DFA-B527-DE005A761495}" = Video Stream Driver for Panasonic DVC "{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}" = MSXML 6.0 Parser "{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X - Deutsch "{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint "{DEDB47A3-C988-4A43-A645-E2CEA571E680}" = Epson Easy Photo Print 2 "{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0 "{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "AOL Deinstallation" = AOL Deinstallation "AOL YGP Screensaver" = AOL Meine Fotos Bildschirmschoner "AOLCoach de" = AOL Coach Version 1.0(Build:20040229.1 de) "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "DEICHMANN_FUCHS VERLAG AKTUELLES BUNDESDATENSCHUTZGESET 3_0" = Deichmann+Fuchs Verlag Aktuelles Bundesdatenschutzgeset 3.0 "ElsterFormular 13.1.0.8394p" = ElsterFormular "EPSON BX300F Series" = EPSON BX300F Series Printer Uninstall "EPSON Scanner" = EPSON Scan "EPSON Stylus Office BX300F_TX300F Benutzerhandbuch" = EPSON Stylus Office BX300F_TX300F Handbuch "InstallShield_{9A97D672-6C93-4DFA-B527-DE005A761495}" = Video Stream Driver for Panasonic DVC "McAfee Security Scan" = McAfee Security Scan Plus "Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de) "MozillaMaintenanceService" = Mozilla Maintenance Service "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "POIbase_is1" = POIbase 1.036 "PROSet" = Intel(R) PRO Network Connections Drivers "QuickTime" = QuickTime "RealPlayer 6.0" = RealPlayer Basic "ViewpointMediaPlayer" = Viewpoint Media Player "Winamp" = Winamp "Winamp Toolbar for Firefox" = Winamp Toolbar for Firefox "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 2 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "Yahoo! Companion" = Yahoo! Toolbar "Yahoo! Customizations" = Yahoo! Browser Services "Yahoo! Internet Mail" = Yahoo! Internet Mail "Yahoo! Messenger" = Yahoo! Messenger "Yahoo! Software Update" = Yahoo! Software Update "YInstHelper" = Yahoo! Install Manager ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 28.06.2012 03:43:49 | Computer Name = PRIVAT | Source = Avira AntiVir | ID = 4112 Description = Bei der Anforderung nach einer Resource des Betriebssystems trat ein Fehler auf. Die Resource 'ThreadInit' wurde nicht zugewiesen. Der Grund hierfür könnte zu wenig Hauptspeicher oder ein anderer Systemfehler sein. Fehlercode: 0x18 Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5014 Description = Volumeschattenkopie-Dienstfehler: Vorgang "5" kann nicht angefordert werden, da kein Arbeiterthread für Autor "Microsoft Writer (Bootable State)" vorhanden ist. Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5014 Description = Volumeschattenkopie-Dienstfehler: Vorgang "5" kann nicht angefordert werden, da kein Arbeiterthread für Autor "Microsoft Writer (Service State)" vorhanden ist. Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "Microsoft Writer (Service State)" aufgerufene Routine "CVssWriterShim::WorkerThreadRequestOperation" ist mit Status "0x8000ffff" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "Microsoft Writer (Bootable State)" aufgerufene Routine "CVssWriterShim::WorkerThreadRequestOperation" ist mit Status "0x8000ffff" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5014 Description = Volumeschattenkopie-Dienstfehler: Vorgang "7" kann nicht angefordert werden, da kein Arbeiterthread für Autor "Microsoft Writer (Bootable State)" vorhanden ist. Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "Microsoft Writer (Bootable State)" aufgerufene Routine "CVssWriterShim::WorkerThreadRequestOperation" ist mit Status "0x8000ffff" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5014 Description = Volumeschattenkopie-Dienstfehler: Vorgang "7" kann nicht angefordert werden, da kein Arbeiterthread für Autor "Microsoft Writer (Service State)" vorhanden ist. Error - 28.06.2012 06:44:08 | Computer Name = PRIVAT | Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "Microsoft Writer (Service State)" aufgerufene Routine "CVssWriterShim::WorkerThreadRequestOperation" ist mit Status "0x8000ffff" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 30.06.2012 03:18:09 | Computer Name = PRIVAT | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . [ System Events ] Error - 29.06.2012 02:16:13 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler beendet: %%2 Error - 29.06.2012 02:16:54 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7022 Description = Der Dienst "Avira AntiVir Guard" wurde nicht ordnungsgemäß gestartet. Error - 29.06.2012 02:19:54 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1460 Error - 30.06.2012 03:12:44 | Computer Name = PRIVAT | Source = SRService | ID = 104 Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen. Error - 30.06.2012 03:12:51 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler beendet: %%2 Error - 30.06.2012 03:15:17 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7022 Description = Der Dienst "Avira AntiVir Guard" wurde nicht ordnungsgemäß gestartet. Error - 30.06.2012 03:18:03 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1460 Error - 30.06.2012 10:50:01 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7022 Description = Der Dienst "Avira AntiVir Guard" wurde nicht ordnungsgemäß gestartet. Error - 30.06.2012 10:50:26 | Computer Name = PRIVAT | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {4991D34B-80A1-4291-83B6-3328366B9097} Error - 30.06.2012 10:52:01 | Computer Name = PRIVAT | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet: %%1460 < End of report > |
02.07.2012, 14:45 | #3 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antivir findet Trojaner Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ |
07.07.2012, 13:12 | #4 |
| Antivir findet Trojaner Hallo, danke für die ersten anweisungen, habe nun den scan mit Malwarebytes durchgeführt hier mein log Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.07.07.01 Windows XP Service Pack 2 x86 NTFS Internet Explorer 6.0.2900.2180 krause :: PRIVAT [Administrator] 07.07.2012 08:31:56 mbam-log-2012-07-07 (08-31-56).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 251081 Laufzeit: 5 Stunde(n), 15 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 1 HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{e484cca8-67d1-490d-9adc-4b44b3955f60}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) jetzt kommt noch das log vom eset scan Ich hoffe ich habe alles richtig gemacht. Was muss jetzt noch getan werden, damit mein System wieder clean ist? Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=1321f6adcde63644b89af52b40592522 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-07-07 03:13:38 # local_time=2012-07-07 05:13:38 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 2 # compatibility_mode=crash # scanned=51146 # found=7 # cleaned=0 # scan_time=10339 C:\Dokumente und Einstellungen\krause\Desktop\jZipV1.exe a variant of Win32/Toolbar.SearchSuite application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\krause\Lokale Einstellungen\Temp\nsz15.tmp.exe a variant of Win32/Toolbar.SearchSuite application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\krause\Lokale Einstellungen\Temp\SetupDataMngr_jZip.exe a variant of Win32/Toolbar.SearchSuite application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Searchqu Toolbar\Datamngr\datamngr.dll a variant of Win32/Toolbar.SearchSuite application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Searchqu Toolbar\Datamngr\DnsBHO.dll a variant of Win32/Toolbar.SearchSuite application (unable to clean) 00000000000000000000000000000000 I C:\Programme\Searchqu Toolbar\Datamngr\IEBHO.dll a variant of Win32/Toolbar.SearchSuite application (unable to clean) 00000000000000000000000000000000 I ${Memory} a variant of Win32/Toolbar.SearchSuite application 00000000000000000000000000000000 I |
09.07.2012, 10:19 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antivir findet Trojaner Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.07.2012, 18:10 | #6 |
| Antivir findet Trojaner Hallo, habe zum erstenmal mit Malwarebytes gescannt, habe deshalb keine weiteren logs. Soll ich noch mal scannen? |
10.07.2012, 09:27 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antivir findet Trojaner Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
10.07.2012, 14:14 | #8 |
| Antivir findet Trojaner Hallo hier die text datei mit ADW cleaner Code:
ATTFilter # AdwCleaner v1.701 - Logfile created 07/10/2012 at 15:11:58 # Updated 02/07/2012 by Xplode # Operating system : Microsoft Windows XP Service Pack 2 (32 bits) # User : *** - PRIVAT # Running from : C:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe # Option [Search] ***** [Services] ***** ***** [Files / Folders] ***** Folder Found : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Searchqutoolbar Folder Found : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Viewpoint Folder Found : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Viewpoint Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint Folder Found : C:\Programme\Searchqu Toolbar Folder Found : C:\Programme\Viewpoint Folder Found : C:\Programme\Viewpoint File Found : C:\DOKUME~1\***\LOKALE~1\Temp\Searchqu.ini File Found : C:\DOKUME~1\***\LOKALE~1\Temp\searchqutoolbar-manifest.xml File Found : C:\Programme\Mozilla FireFox\searchplugins\Search_Results.xml ***** [Registry] ***** Key Found : HKCU\Software\DataMngr Key Found : HKCU\Software\DataMngr_Toolbar Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1 Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary Key Found : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1 Key Found : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard Key Found : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1 Key Found : HKLM\SOFTWARE\DataMngr Key Found : HKLM\SOFTWARE\MetaStream Key Found : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E} Key Found : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu Toolbar Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer Key Found : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP Key Found : HKLM\SOFTWARE\SearchquMediabarTb Key Found : HKLM\SOFTWARE\Viewpoint Value Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr] ***** [Registre - GUID] ***** Key Found : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E} Key Found : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD} Key Found : HKLM\SOFTWARE\Classes\CLSID\{38EE5CEE-4B62-11D3-854F-00A0C9C898E7} Key Found : HKLM\SOFTWARE\Classes\CLSID\{8D670533-270B-4549-B19B-414FB9C6EBDB} Key Found : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7} Key Found : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0} Key Found : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115} Key Found : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87} Key Found : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A} Key Found : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515} Key Found : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3} Key Found : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15} Key Found : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9} Key Found : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705} Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{03F998B2-0E00-11D3-A498-00104B6EB52E} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1B00725B-C455-4DE6-BFB6-AD540AD427CD} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0} Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}] ***** [Internet Browsers] ***** -\\ Internet Explorer v6.0.2900.2180 [OK] Registry is clean. ************************* AdwCleaner[R1].txt - [4621 octets] - [10/07/2012 15:11:58] ########## EOF - C:\AdwCleaner[R1].txt - [4749 octets] ########## |
10.07.2012, 20:22 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antivir findet Trojaner
__________________ Logfiles bitte immer in CODE-Tags posten |
12.07.2012, 19:00 | #10 |
| Antivir findet Trojaner Hallo, danke für deine Hilfe, so far - wie geht es weiter? heir nun das log Code:
ATTFilter # AdwCleaner v1.701 - Logfile created 07/12/2012 at 19:40:48 # Updated 02/07/2012 by Xplode # Operating system : Microsoft Windows XP Service Pack 2 (32 bits) # User : *** - PRIVAT # Running from : C:\Dokumente und Einstellungen\***\Desktop\adwcleaner.exe # Option [Delete] ***** [Services] ***** ***** [Files / Folders] ***** Folder Deleted : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Searchqutoolbar Folder Deleted : C:\Dokumente und Einstellungen\***\Anwendungsdaten\Viewpoint Folder Deleted : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess Folder Deleted : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint Folder Deleted : C:\Programme\Searchqu Toolbar Folder Deleted : C:\Programme\Viewpoint File Deleted : C:\DOKUME~1\***\LOKALE~1\Temp\Searchqu.ini File Deleted : C:\DOKUME~1\***\LOKALE~1\Temp\searchqutoolbar-manifest.xml File Deleted : C:\Programme\Mozilla FireFox\searchplugins\Search_Results.xml ***** [Registry] ***** Key Deleted : HKCU\Software\DataMngr Key Deleted : HKCU\Software\DataMngr_Toolbar Key Deleted : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl Key Deleted : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1 Key Deleted : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary Key Deleted : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1 Key Deleted : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard Key Deleted : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1 Key Deleted : HKLM\SOFTWARE\DataMngr Key Deleted : HKLM\SOFTWARE\MetaStream Key Deleted : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E} Key Deleted : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu Toolbar Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer Key Deleted : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP Key Deleted : HKLM\SOFTWARE\SearchquMediabarTb Key Deleted : HKLM\SOFTWARE\Viewpoint Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr] ***** [Registre - GUID] ***** Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{38EE5CEE-4B62-11D3-854F-00A0C9C898E7} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{8D670533-270B-4549-B19B-414FB9C6EBDB} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515} Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3} Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15} Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9} Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705} Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{03F998B2-0E00-11D3-A498-00104B6EB52E} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1B00725B-C455-4DE6-BFB6-AD540AD427CD} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0} Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}] ***** [Internet Browsers] ***** -\\ Internet Explorer v6.0.2900.2180 [OK] Registry is clean. ************************* AdwCleaner[R1].txt - [4729 octets] - [10/07/2012 15:11:58] AdwCleaner[S1].txt - [4577 octets] - [12/07/2012 19:40:48] ########## EOF - C:\AdwCleaner[S1].txt - [4705 octets] ########## |
12.07.2012, 19:42 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antivir findet Trojaner Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Antivir findet Trojaner |
'tr/atraps.gen2', 80000000.@, 800000cb.@, adobe, aktion, antivir, antivir guard, anwendungsdaten, avira, benutzer, brauche, browser, computer, datei, dokumente, einstellungen, error, explorer, fehler, flash player, folge, folgende, format, forum, frage, funde, gefunde, helper, individuelle, logfile, lokale, mozilla, neu, programm, registry, rundll, security, server, system, tr/atraps.gen, troja, trojan, trojane, trojaner, unerwünschtes programm, virus, zugriff |