Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
u.a. banker.d worm gefunden

u.a. banker.d worm gefunden


Log-Analyse und Auswertung: u.a. banker.d worm gefunden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.01.2008, 15:53   #1
Heini66
 
u.a. banker.d worm gefunden - Standard

u.a. banker.d worm gefunden


Hallihallo,
habe seit einiger Zeit das Problem, dass sich einzelne Programme selbständig öffnen (überwiegend Outlook, (Zubehör-)Rechner). Mit AntiVir konnte ich bisher nichts feststellen. Bin unter eurer Seite auf e-scan gestossen und siehe da: Diverse Trojaner wurden gefunden (sh. e-Scan-Protokoll und HJT-Logfile)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.7
Sprache: English
Virus Database Date: 1/19/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken.
System found infected with banker.d Worm (helper.dll)! Action taken: No Action Taken.
System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Object "Possible Fujacks-type Worm" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Heini\Eigene Dateien\downloads mda\dvd to pocket pc\helper.dll
Offending file found: C:\Dokumente und Einstellungen\Heini\Eigene Dateien\mdacompact my documents\uacontents\templates\1.dat
Offending file found: C:\Dokumente und Einstellungen\Heini\Eigene Dateien\mdacompact my documents\uacontents\templates\2.dat
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d116827f-68af-11db-8375-001346b195df} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mp3 player.exe not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 7
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 21
Time Elapsed: 01:07:08
Total Objects Scanned: 105955
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 15:35:35,32
Batchende: 15:35:51,92



Logfile of HijackThis v1.99.1
Scan saved at 15:04:24, on 20.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\SCROLL~1\MouseElf.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Wireless Device\Wireless Mouse\MouseAp.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\ScrollMate Mouse\EMouse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\MouseElf.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: Enable Wireless Mouse Driver.lnk = C:\Programme\Wireless Device\Wireless Mouse\MouseAp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\ImapiRox.exe (file missing)
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - C:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

Ich hoffe, es gibt eine Möglichkeit außerhalb von Format: C .
Was kann ich also tun?

Gruß

Heini

Alt 20.01.2008, 15:58   #2
Heini66
 
u.a. banker.d worm gefunden - Standard

u.a. banker.d worm gefunden


Ups, sorry , hab noch was vergessen:

CounterSpy und AntiVir haben mir vor einigen Tagen noch diese Ergebnisse angezeigt:

Hier das CounterSpy-Ergebnis:

Scan History Details
Start Date: 13.01.2008 13:09:51
End Date: 13.01.2008 15:02:55
Total Time: 113 Min 4 Sec
Detected security risks

PSGuard Rogue Security Program more information...
Details: PSGuard is a purported anti-spyware application to scan for and remove spyware from users' computers.
Status: Ignored

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard
HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard\P.S.Guard
HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard\P.S.Guard\License


Und hier das AntiVir Log-file:

AntiVir PersonalEdition Premium
Erstellungsdatum der Reportdatei: Samstag, 12. Januar 2008 13:44

Es wird nach 1027920 Virenstämmen gesucht.

Lizenznehmer: Jochen Heinrich
Seriennummer: 1100256462-PEPWE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: ARBEITSZIMMER

Versionsinformationen:
BUILD.DAT : 308 17199 Bytes 19.09.2007 13:41:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 11:36:00
ANTIVIR2.VDF : 7.0.1.205 620544 Bytes 08.01.2008 11:36:00
ANTIVIR3.VDF : 7.0.1.227 161280 Bytes 11.01.2008 11:36:00
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 12.01.2008 11:36:01
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 12.01.2008 11:36:01
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2576424 Bytes 07.08.2007 12:50:42
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 13:03:09
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 12. Januar 2008 13:44

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EMouse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ocontrol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MouseAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DWLGTI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtProc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MouseElf.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxWatch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxMediaDB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '34' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Panda Security\NanoScan\Engine\psnflg.dll
[FUND] Ist das Trojanische Pferd TR/Agent.bux.1
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
C:\System Volume Information\_restore{48B68672-9289-46DB-AAD7-5E9EDB5B7F7A}\RP292\A0086318.dll
[FUND] Ist das Trojanische Pferd TR/Agent.bux.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47b8f8b5.qua' verschoben!
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Samstag, 12. Januar 2008 18:58
Benötigte Zeit: 5:13:33 min

Der Suchlauf wurde vollständig durchgeführt.

5920 Verzeichnisse wurden überprüft
192817 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
192815 Dateien ohne Befall
1637 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Falls Ihr weitere Scans benötigt, gebt mir bitte Bescheid.

Gruß

Heini
__________________
Alt 21.01.2008, 02:47   #3
KarlKarl
/// Helfer-Team
 
u.a. banker.d worm gefunden - Standard

u.a. banker.d worm gefunden


Hi,

also Escan hat mal wieder (wie üblich) mit einem Haufen Fehlalarmen einen Computerbesitzer in Angst versetzt.

Bei Antivir sieht das ganz danach aus, als ob es ein Fehlalarm auf den Panda-Scan sein könnte. Stellt sich natürlich die Frage, ob Du schon mal einen Pandascan auf diesem Rechner gemacht hast. Die Datei neugt wohl dazu, vermutlcih benutzt sie Rootkitechniken um andere Rootkits entdecken zu können. Der zweite Fund dürfte ihre Sicherung in der Systemwiederherstellung sein.

Bleibt eigentlich nur noch Counterspy. Da könnte was dran sein. Warum hast du es nicht entfernen lassen? Das Log ist übrigens unvollständig. Es handelt sich auch nur um Funde in der Registry.

Gruß, Karl
__________________
Alt 19.07.2008, 17:05   #4
Heini66
 
u.a. banker.d worm gefunden - Standard

u.a. banker.d worm gefunden


Hallihallo,

habe damals die o.g. Funde direkt gelöscht. Mittlerweile treten die eingangs genannten Probleme (selbständiges öffnen der Programme) nicht mehr auf. Ich habe mittlerweile aber ein neues Problem, zu dem ich die anschl. Log-Files aktualisiert noch einmal posten möchten. Programme sind zeitweise nicht mehr über die Maus "bedienbar". Ich muss dann immer über die Task-Leiste minimieren und anschl. wieder hochziehen oder über Alt+Tab in den Programmen hin-und herwechseln um diese wieder lauffähig zu machen. Treiber-Probleme konnte ich bisher ausschließen, da ich auch mit einer anderen Maus die gleichen Probleme habe. Außerdem "zickt" der Mauszeiger rum, scrollt und/oder markiert eigenständig in den geöffneten Progs.

Hier nun meine Log-Files:

HJT-File

Logfile of HijackThis v1.99.1
Scan saved at 17:29:42, on 19.07.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\SCROLL~1\MouseElf.EXE
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: Enable Wireless Mouse Driver.lnk = C:\Programme\Wireless Device\Wireless Mouse\MouseAp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15102/CTPID.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe

e-scan-Logfile

Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" found in File System! Action Taken: No Action Taken.
Object "banker.d Worm" found in File System! Action Taken: No Action Taken.
Object "crisystec sentry 3.0 Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken.
Object "wareout Adware" found in File System! Action Taken: No Action Taken.
Object "wareout Adware" found in File System! Action Taken: No Action Taken.
Object "combo Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "malwarescanner Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken.
Object "backdoor (ircbot) trojans Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "combo Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "spyware.expresskeylog Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\QueueObject" refers to invalid object "{255b3f60-829e-11cf-8d8b-00aa0060f5bf}". Action Taken: No Action Taken.
Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" refers to invalid object "C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\gdiplus.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Shared Tools\msoc.dll" refers to invalid object "C:\Programme\Microsoft Office\Office". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Shared Tools\recncl.dll" refers to invalid object "C:\WINDOWS\system32\RECNCL.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Shared Tools\xlrec.dll" refers to invalid object "C:\WINDOWS\system32\XLREC.DLL". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".c2d". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mozilla Firefox (3.0)". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Navilog1". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Windows Media Format Runtime". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{191D24DA-8FEA-4EF6-8CC3-00B62CA34D49}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{21C6538E-344A-405C-92E9-37559C0ED2EC}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{32971938-65B1-4B38-B483-9A32560B7CF2}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{40CEB0B7-671F-4269-BB20-9388B7BC5FBF}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{4757E865-0292-4E04-940D-9C51052A5DD6}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{4D072D56-B07B-4798-97B2-B9E7A4F53EAC}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{4D11252C-899B-4134-A036-4F1D2C08A7A7}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{57DB7A31-DE03-4F65-85A1-42BB9B37565F}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{6EC77255-2E6B-49C0-B730-9C38410E0A85}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{A06275F4-324B-4E85-95E6-87B2CD729401}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-7AD7-1031-7B44-A81000000003}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AF3CFB9C-A368-43DE-8877-A33B5D91CB71}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{B945219C-C51C-4BD0-BAD5-A3FED95B555F}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{CCFD0EBD-252F-42F4-95AE-01E358EFD87A}". Action Taken: No Action Taken.

antivir-scan



Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Samstag, 19. Juli 2008 10:29

Es wird nach 1475814 Virenstämmen gesucht.

Lizenznehmer: Jochen Heinrich
Seriennummer: 1100256462-PEPWE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3, v.3264) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ARBEITSZIMMER

Versionsinformationen:
BUILD.DAT : 8.1.0.362 20011 Bytes 11.7.2008 12:34:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.7.2008 16:20:34
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.7.2008 16:20:34
LUKE.DLL : 8.1.4.5 164097 Bytes 18.7.2008 16:20:34
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.7.2008 16:20:34
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 14:27:15
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.6.2008 16:26:19
ANTIVIR2.VDF : 7.0.5.119 1264128 Bytes 15.7.2008 17:39:33
ANTIVIR3.VDF : 7.0.5.138 321536 Bytes 18.7.2008 16:20:34
Engineversion : 8.1.1.11
AEVDF.DLL : 8.1.0.5 102772 Bytes 15.4.2008 15:29:10
AESCRIPT.DLL : 8.1.0.59 307579 Bytes 18.7.2008 16:20:35
AESCN.DLL : 8.1.0.23 119156 Bytes 16.7.2008 17:39:36
AERDL.DLL : 8.1.0.20 418165 Bytes 27.4.2008 17:54:00
AEPACK.DLL : 8.1.2.1 364917 Bytes 16.7.2008 17:39:36
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.7.2008 16:20:35
AEHEUR.DLL : 8.1.0.43 1339767 Bytes 18.7.2008 16:20:35
AEHELP.DLL : 8.1.0.15 115063 Bytes 31.5.2008 07:30:06
AEGEN.DLL : 8.1.0.29 307573 Bytes 22.6.2008 18:12:26
AEEMU.DLL : 8.1.0.6 430451 Bytes 8.5.2008 05:39:31
AECORE.DLL : 8.1.1.6 172405 Bytes 18.7.2008 16:20:34
AEBB.DLL : 8.1.0.1 53617 Bytes 18.7.2008 16:20:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.7.2008 16:20:34
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.7.2008 16:20:34
AVREP.DLL : 7.0.0.1 155688 Bytes 16.4.2007 13:16:24
AVREG.DLL : 8.0.0.1 33537 Bytes 18.7.2008 16:20:34
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.4.2008 15:29:08
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.7.2008 16:20:33
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.4.2008 15:29:09
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.7.2008 16:20:34
NETNT.DLL : 8.0.0.1 7937 Bytes 15.4.2008 15:29:09
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 18.7.2008 16:20:30
RCTEXT.DLL : 8.0.51.0 90369 Bytes 18.7.2008 16:20:30

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition premium\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 19. Juli 2008 10:29

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageTryStartService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ocontrol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MouseAp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DWLGTI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtProc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTCheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WrtMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '75' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Samstag, 19. Juli 2008 12:08
Benötigte Zeit: 1:39:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7121 Verzeichnisse wurden überprüft
292742 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
292741 Dateien ohne Befall
3713 Archive wurden durchsucht
1 Warnungen
0 Hinweise



und counterspy noch folgendes gefunden:


Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard
HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard\P.S.Guard
HKEY_LOCAL_MACHINE\SOFTWARE\PSGUARD.COM\PSGuard\P.S.Guard\License

Bin für jede Hilfe dankbar.

Gruß

Heini

Alt 19.07.2008, 17:07   #5
Heini66
 
u.a. banker.d worm gefunden - Standard

u.a. banker.d worm gefunden


Als Ergänzung zu meiner eben geposteten Anfrage:
Hatte noch einen weiteren scan unter a-squared durchgeführt:


a-squared-free-Logfile

a-squared Free - Version 3.5
Letztes Update: 18.07.2008 18:41:08

Scan Einstellungen:

Objekte: Speicher, Traces, Cookies, C:\, E:\
Archiv Scan: An
Heuristik: An
ADS Scan: An

Scan Beginn: 18.07.2008 18:41:42

c:\windows\system32\taskkeyhook.dll gefunden: Trace.File.Aye Parental Control
C:\Dokumente und Einstellungen\Heini\Cookies\heini@windowsmedia[2].txt gefunden: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\Billard.exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_arm_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_mips_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\notestodaytrialsetup_both.exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\today task\cLaunch.exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\today task.zip/cLaunch.exe gefunden: Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\wolfclocksetup.exe gefunden: Dialer
C:\Programme\Free WMA to MP3 Converter\readmedia.dll gefunden: Trojan-PSW.Win32.OnLineGames.acqh

Gescannt

Dateien: 207535
Traces: 418609
Cookies: 34
Prozesse: 46

Gefunden

Dateien: 21
Traces: 1
Cookies: 1
Prozesse: 0
Registry Keys: 0

Scan Ende: 19.07.2008 05:33:37
Scan Zeit: 10:51:55

C:\Programme\Free WMA to MP3 Converter\readmedia.dll Quarantäne Trojan-PSW.Win32.OnLineGames.acqh
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\135159mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\Billard.exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg-3d-deu.zip/mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_arm_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_mips_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\mahjongg_mobile2day(demo)_sh3_de(v1_4).exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\notestodaytrialsetup_both.exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\today task\cLaunch.exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\today task.zip/cLaunch.exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Eigene Dateien\Downloads MDA\wolfclocksetup.exe Quarantäne Dialer
C:\Dokumente und Einstellungen\Heini\Cookies\heini@windowsmedia[2].txt Quarantäne Trace.TrackingCookie
c:\windows\system32\taskkeyhook.dll Quarantäne Trace.File.Aye Parental Control

Quarantäne

Dateien: 0
Traces: 1
Cookies: 1

Gruß

Heini


Antwort

Themen zu u.a. banker.d worm gefunden
adware, antivir, avira, bho, diverse trojaner, drivers, fehler, format, google, hijack, hijackthis, home, hosts-datei, internet, internet explorer, mp3, object, problem, prozesse, registry, senden, server, software, system, trojaner, windows, windows defender, windows xp, windows\system32\drivers, wiso


« Eigene Dateien insgesamt bei Neustart verschwunden | "blank[1].gif" ist das ein Trojaner Datei? »


Ähnliche Themen: u.a. banker.d worm gefunden


  1. Funde: Trojan.Generic.9756735 & Banker.D.Worm Fehleralarme?
    Plagegeister aller Art und deren Bekämpfung - 05.01.2014 (6)
  2. Nach Wiederherstellung Trojan.Banker und Backdoor.bot gefunden
    Log-Analyse und Auswertung - 13.10.2013 (29)
  3. Hinweis von web.de auf Zeus gefunden wurde Trojaner.Banker
    Plagegeister aller Art und deren Bekämpfung - 13.10.2012 (37)
  4. Gebraucht PC gekauft TR/Spx.Gen und TR/Spy.Banker gefunden
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (1)
  5. Agent.devb und Spy.Banker.Gen auf dem Laptop gefunden
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (5)
  6. Trojanisches Pferd TR/PSW.Banker.O.26 wurde gefunden
    Log-Analyse und Auswertung - 28.04.2012 (15)
  7. TR/Spy.Banker.Gen2-gefunden!
    Log-Analyse und Auswertung - 16.04.2012 (11)
  8. Bei vollständigem Suchlauf mit Malwarebytes' 4 mal Trojan.Banker gefunden
    Log-Analyse und Auswertung - 12.04.2012 (7)
  9. erst TR/Spy.Banker.Gen2 gefunden, dann TR/PSW.Banker.O.33
    Log-Analyse und Auswertung - 28.03.2012 (26)
  10. TR/Spy.Banker.Gen2 (gefunden von Avira)
    Plagegeister aller Art und deren Bekämpfung - 19.03.2012 (8)
  11. Bundespolizei-, Spy.Banker.Gen2- Trojaner etc. gefunden
    Log-Analyse und Auswertung - 16.12.2011 (13)
  12. Trojan.Banker & Rootkit gefunden. Wie werde ich die 100%ig wieder los?
    Log-Analyse und Auswertung - 17.08.2011 (1)
  13. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  14. Trojanisches Pferd TR/Banker.Banker.aywq gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (7)
  15. unerwünschtes Programm 'TR/Spy.Banker.AG.1' [trojan] gefunden
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (17)
  16. trojaner DR/Spy.Banker.mjh gefunden und gelöscht??
    Log-Analyse und Auswertung - 22.06.2008 (2)
  17. TR/Spy.Banker.EK.5 von AntiVir in den Temp internet files gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.01.2005 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema u.a. banker.d worm gefunden - Hallihallo, habe seit einiger Zeit das Problem, dass sich einzelne Programme selbständig öffnen (überwiegend Outlook, (Zubehör-)Rechner). Mit AntiVir konnte ich bisher nichts feststellen. Bin unter eurer Seite auf e-scan gestossen - u.a. banker.d worm gefunden...
Archiv
Du betrachtest: u.a. banker.d worm gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131