Hallo Virenbekämpfungsteam,

der Rechner (bzw. avast) eines Bekannten meldet sich seit heute im Minutenrhythmus, dass explorer.exe irgendwelche Seiten versucht aufzurufen, was avast aber glücklicherweise blockiert.

Hier die aktuelle Malwarebytes Logdatei

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.11.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
**** :: *** [Administrator]

11.09.2012 14:27:22
mbam-log-2012-09-11 (16-26-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 251542
Laufzeit: 1 Stunde(n), 55 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Caxix (Trojan.Phex.THAGen9) -> Daten: "C:\Dokumente und Einstellungen\****\Anwendungsdaten\Uwxen\ecitt.exe" -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wxDfast (PUP.wxDfast) -> Keine Aktion durchgeführt.

Infizierte Dateien: 8
C:\Dokumente und Einstellungen\****\Anwendungsdaten\Uwxen\ecitt.exe (Trojan.Phex.THAGen9) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wxDfast\bhoclass.dll (PUP.DownloadnSave) -> Keine Aktion durchgeführt.
c:\dokumente und einstellungen\all users\local settings\temp\msbtpa.bat (Trojan.Phex.THAGen6) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\00090524.exe (Trojan.Phex.THAGen9) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wxDfast\background.html (PUP.wxDfast) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wxDfast\content.js (PUP.wxDfast) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wxDfast\opnkkfjdnhgkjefnnohgfackfninikjo.crx (PUP.wxDfast) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wxDfast\settings.ini (PUP.wxDfast) -> Keine Aktion durchgeführt.

(Ende)
         

Genügt das schon mal für eine erste Analyse?

Vielen Dank schon mal im Voraus.

meheeco

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! Bitte nachholen falls noch nicht getan!

NICHTS voreilig aus der Quarantäne löschen!



Bitte auch ESET ausführen, danach sehen wir weiter!

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.


ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist.
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke .
• Klicke und speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die Logfile hier.


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log