Hallo,

ich habe einen "alten" PC im Keller stehen und jetzt meldet AntiVir immer ein paar Viren ...

hier mal der AntiVir Log

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 26. August 2012 19:11

Es wird nach 4166737 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : ***********************
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Busch
Computername : PC-KELLER

Versionsinformationen:
BUILD.DAT : 12.0.0.1167 40870 Bytes 18.07.2012 19:07:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 18.07.2012 16:04:24
AVSCAN.DLL : 12.3.0.15 66256 Bytes 18.07.2012 16:04:38
LUKE.DLL : 12.3.0.15 68304 Bytes 18.07.2012 16:04:31
AVSCPLR.DLL : 12.3.0.27 97064 Bytes 18.07.2012 16:04:24
AVREG.DLL : 12.3.0.33 232232 Bytes 18.07.2012 16:04:23
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 22:37:35
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 16:04:37
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 16:04:37
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 16:04:37
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 16:04:37
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 16:04:37
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 16:04:37
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 16:04:37
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 16:04:37
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 16:04:37
VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 13:30:36
VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 13:30:36
VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 13:30:36
VBASE017.VDF : 7.11.38.221 178176 Bytes 06.08.2012 13:30:36
VBASE018.VDF : 7.11.39.37 168448 Bytes 08.08.2012 13:30:37
VBASE019.VDF : 7.11.39.89 131072 Bytes 09.08.2012 13:30:37
VBASE020.VDF : 7.11.39.145 142336 Bytes 11.08.2012 13:30:37
VBASE021.VDF : 7.11.39.207 165888 Bytes 14.08.2012 13:30:37
VBASE022.VDF : 7.11.40.9 156160 Bytes 16.08.2012 13:30:38
VBASE023.VDF : 7.11.40.49 133120 Bytes 17.08.2012 13:30:38
VBASE024.VDF : 7.11.40.95 156160 Bytes 20.08.2012 13:30:38
VBASE025.VDF : 7.11.40.155 181760 Bytes 22.08.2012 13:30:17
VBASE026.VDF : 7.11.40.205 203264 Bytes 23.08.2012 13:18:06
VBASE027.VDF : 7.11.40.206 2048 Bytes 23.08.2012 13:18:06
VBASE028.VDF : 7.11.40.207 2048 Bytes 23.08.2012 13:18:06
VBASE029.VDF : 7.11.40.208 2048 Bytes 23.08.2012 13:18:06
VBASE030.VDF : 7.11.40.209 2048 Bytes 23.08.2012 13:18:06
VBASE031.VDF : 7.11.40.250 96256 Bytes 25.08.2012 07:48:33
Engineversion : 8.2.10.146
AEVDF.DLL : 8.1.2.10 102772 Bytes 21.08.2012 13:30:43
AESCRIPT.DLL : 8.1.4.46 455034 Bytes 24.08.2012 13:19:07
AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36
AESBX.DLL : 8.2.5.12 606578 Bytes 18.07.2012 16:04:20
AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32
AEPACK.DLL : 8.3.0.32 811382 Bytes 24.08.2012 13:19:05
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 21.08.2012 13:30:42
AEHEUR.DLL : 8.1.4.92 5177718 Bytes 24.08.2012 13:18:51
AEHELP.DLL : 8.1.23.2 258422 Bytes 18.07.2012 16:04:17
AEGEN.DLL : 8.1.5.36 434549 Bytes 24.08.2012 13:18:09
AEEXP.DLL : 8.1.0.80 86389 Bytes 24.08.2012 13:19:08
AEEMU.DLL : 8.1.3.2 393587 Bytes 21.08.2012 13:30:39
AECORE.DLL : 8.1.27.4 201078 Bytes 21.08.2012 13:30:39
AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28
AVWINLL.DLL : 12.3.0.15 27344 Bytes 18.07.2012 16:04:25
AVPREF.DLL : 12.3.0.15 51920 Bytes 18.07.2012 16:04:23
AVREP.DLL : 12.3.0.15 179208 Bytes 18.07.2012 16:04:23
AVARKT.DLL : 12.3.0.15 211408 Bytes 18.07.2012 16:04:21
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 18.07.2012 16:04:22
SQLITE3.DLL : 3.7.0.1 398288 Bytes 18.07.2012 16:04:34
AVSMTP.DLL : 12.3.0.32 63480 Bytes 18.07.2012 16:04:24
NETNT.DLL : 12.3.0.15 17104 Bytes 18.07.2012 16:04:31
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 18.07.2012 16:04:41
RCTEXT.DLL : 12.3.0.31 100088 Bytes 18.07.2012 16:04:41

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Busch\LOKALE~1\Temp\2eb78245.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 26. August 2012 19:11

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Busch\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\1f685dc0-7a848d43
[0] Archivtyp: ZIP
--> h4dAa/h4dAe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.EH.2
--> h4dAa/h4dAa.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.CN.2
--> h4dAa/h4dAc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karam.V.3
--> h4dAa/h4dAd.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karam.W.2
--> h4dAa/h4dAb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.AJ.2

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Busch\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\1f685dc0-7a848d43
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.AJ.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5455f9f9.qua' verschoben!


Ende des Suchlaufs: Sonntag, 26. August 2012 19:29
Benötigte Zeit: 16:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3360 Verzeichnisse wurden überprüft
101024 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
101019 Dateien ohne Befall
762 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Malwarebytes:
Ich habe einmal einen Fullscan gemacht aber vergessen die Funde zu entfernen. Danach habe ich einen Quickscan gemacht und die Funde enfternt. Hier der Log:

Zitat:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org




Datenbank Version: v2012.08.26.04




Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Busch :: PC-KELLER [Administrator]




26.08.2012 20:36:06
mbam-log-2012-08-26 (20-36-06).txt




Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 192815
Laufzeit: 6 Minute(n), 6 Sekunde(n)




Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)




Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)




Infizierte Registrierungsschlüssel: 7
HKCR\CLSID\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkd.AIEbho.1 (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkd.AIEbho (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0F1636E-13A8-4C84-BB11-774BE45E1F83} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.




Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)




Infizierte Dateiobjekte der Registrierung: 6
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Downloader) -> Bösartig: (C:\WINDOWS\system32\appConf32.exe) Gut: () -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appConf32.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.




Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.




Infizierte Dateien: 3
C:\WINDOWS\system32\appConf32.exe (Trojan.Downloader) -> Löschen bei Neustart.
C:\WINDOWS\system32\AcroIEHelpe200.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.




(Ende)

Hier von OTL

Zitat:

Wird nachgetragen

Ich hoffe, dass ich die logs heute noch hinbekomme ,... ansonsten lade ich sie morgen hoch

MfG und Danke schonmal

Olli

Hier die beiden OTL-Logs. Ich kann (leider) nur alle 60 Minuten meinen Beitrag editieren.

Code: Alles auswählenAufklappen

ATTFilter

Trojan.Banker
appConf32.exe (Trojan.Downloader)
         

Schlechte Nachrichten!

Du hast mehr als eine schwere Infektion auf Deinem Rechner. http://www.trojaner-board.de/56634-rootkits.html
Er ist kompromittiert und ist nicht mehr vertrauenswuerdig. Du solletest von einem sauberen System aus alle deine Passwoerter aendern.
Ich empfehle dir dringendst den PC vom Netz zu trennen und neu aufzusetzen.


Anleitungen zum Neuaufsetzen (bebildert) > Windows 7 neu aufsetzen > Vista > XP

1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.

Hallo,

Okay Passwörter brauch ich keine ändern... das System läuft erst seit ein paar tagen und ist nur für meinen kleinen Bruder gedacht... spieleaffe und so.

Neu machen ist ja kein Ding... aber wo dran hast du erkannt dass es ein rootkit ist?

Mfg und danke
Olli

Lektuere:

Encyclopedia entry: PWS:Win32/Banker.O - Learn more about malware - Microsoft Malware Protection Center