Trojaner eingefangen, Bitte um Hilfe!!!

woody209 · 30.06.2008, 22:06

Hi,

ich habe ein kleines Problem. Ich habe eine CD von einem Bekannten bekommen und leider war da wohl etwas falsches mit drauf. Jetzt spinnt mein Rechner total und ich hoffe ich bekomme hier etwas hilfe von euch. Ich habe euch mal meinen Logfile online gestellt.
Würde mich freuen, wenn mir jemanden helfen könnte.

danke...

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 30. Juni 2008 20:52

Es wird nach 1365960 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ********

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.04.2008 07:09:31
AVSCAN.DLL : 8.1.1.0 57601 Bytes 18.04.2008 07:09:31
LUKE.DLL : 8.1.2.9 151809 Bytes 18.04.2008 07:09:34
LUKERES.DLL : 8.1.2.0 12545 Bytes 18.04.2008 07:09:34
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 09:41:30
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 09:55:19
ANTIVIR2.VDF : 7.0.5.2 2048 Bytes 24.06.2008 09:55:20
ANTIVIR3.VDF : 7.0.5.18 109568 Bytes 28.06.2008 09:55:22
Engineversion : 8.1.0.59
AEVDF.DLL : 8.1.0.5 102772 Bytes 18.04.2008 07:09:37
AESCRIPT.DLL : 8.1.0.44 278907 Bytes 21.06.2008 06:13:42
AESCN.DLL : 8.1.0.22 119157 Bytes 21.06.2008 06:13:42
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 04:36:58
AEPACK.DLL : 8.1.1.6 364918 Bytes 21.06.2008 06:13:41
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21.06.2008 06:13:41
AEHEUR.DLL : 8.1.0.32 1274231 Bytes 21.06.2008 06:13:40
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 06:19:13
AEGEN.DLL : 8.1.0.29 307573 Bytes 21.06.2008 06:13:34
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 08:44:08
AECORE.DLL : 8.1.0.31 168310 Bytes 08.06.2008 08:03:23
AVWINLL.DLL : 1.0.0.7 14593 Bytes 18.04.2008 07:09:31
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.04.2008 07:09:31
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 18.04.2008 07:09:31
AVARKT.DLL : 1.0.0.23 307457 Bytes 18.04.2008 07:09:30
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 18.04.2008 07:09:30
SQLITE3.DLL : 3.3.17.1 339968 Bytes 18.04.2008 07:09:35
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 18.04.2008 07:09:35
NETNT.DLL : 8.0.0.1 7937 Bytes 18.04.2008 07:09:34
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 18.04.2008 07:09:22
RCTEXT.DLL : 8.0.32.0 86273 Bytes 18.04.2008 07:09:22

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:, G:, H:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 30. Juni 2008 20:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pg2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Cacheman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mysqld-nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FileZillaServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNAB4RPK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'savedump.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '21' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\win2E.tmp
[FUND] Ist das Trojanische Pferd TR/Obfuscated.GX.27
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d72ead.qua' verschoben!
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QVLD471X\banner15[1].gif
[0] Archivtyp: HIDDEN
--> FIL\\\?\C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QVLD471X\banner15[1].gif
[FUND] Ist das Trojanische Pferd TR/PSW.LdPinch.sh.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d72f98.qua' verschoben!
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd0653.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <Programme>
F:\Photoshop CS3\Photoshop Dateien\*******************
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d83844.qua' verschoben!
F:\System Volume Information\_restore{FE2C8DE5-5363-4DD7-AAFE-F0A1FD6A6073}\RP344\A0164081.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '489a3869.qua' verschoben!
F:\System Volume Information\_restore{FE2C8DE5-5363-4DD7-AAFE-F0A1FD6A6073}\RP344\A0166065.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '489a386b.qua' verschoben!
Beginne mit der Suche in 'G:\' <something>
Beginne mit der Suche in 'H:\' <AllOrNothing>

Ende des Suchlaufs: Montag, 30. Juni 2008 22:04
Benötigte Zeit: 1:12:16 min

Der Suchlauf wurde vollständig durchgeführt.

10042 Verzeichnisse wurden überprüft
439014 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
439009 Dateien ohne Befall
2420 Archive wurden durchsucht
4 Warnungen
5 Hinweise

woody209 · 01.07.2008, 08:18

Hi hab nochmal einen Scan bei Virus total gemacht. Werde daraus aber nicht klüger...

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.1.0 2008.07.01 -
AntiVir 7.8.0.59 2008.07.01 -
Authentium 5.1.0.4 2008.07.01 -
Avast 4.8.1195.0 2008.06.30 -
AVG 7.5.0.516 2008.06.30 -
BitDefender 7.2 2008.07.01 -
CAT-QuickHeal 9.50 2008.06.30 -
ClamAV 0.93.1 2008.07.01 -
DrWeb 4.44.0.09170 2008.07.01 -
eSafe 7.0.17.0 2008.06.30 -
eTrust-Vet 31.6.5916 2008.07.01 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.07.01 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.07.01 -
GData 2.0.7306.1023 2008.07.01 -
Ikarus T3.1.1.26.0 2008.07.01 -
Kaspersky 7.0.0.125 2008.07.01 -
McAfee 5328 2008.06.30 -
Microsoft 1.3704 2008.07.01 -
NOD32v2 3230 2008.07.01 -
Norman 5.80.02 2008.06.30 -
Panda 9.0.0.4 2008.07.01 -
Prevx1 V2 2008.07.01 -
Rising 20.51.10.00 2008.07.01 -
Sophos 4.30.0 2008.07.01 -
Sunbelt 3.1.1509.1 2008.07.01 -
Symantec 10 2008.07.01 -
TheHacker 6.2.96.365 2008.07.01 -
TrendMicro 8.700.0.1004 2008.07.01 -
VBA32 3.12.6.8 2008.06.30 -
VirusBuster 4.5.11.0 2008.06.30 -
Webwasher-Gateway 6.6.2 2008.07.01 -
weitere Informationen
File size: 19132 bytes
MD5...: 9887979f60979389a3841d2d5baafc4e
SHA1..: 0e420ea386d6753c4279b6f36e972b78bc0efc60
SHA256: b9f067f7df9db31b690a6f692e38d1d08fc5cc75e3c6c07de29a4419826d74ff
SHA512: a5bc214912df4408762c3d922354f40eef63bac7d3ac84caa84f67731eca76e6
0d790c0b729081fce5487f2af345ed576e786bfca84c6e4798faea06e69a653f
PEiD..: -
PEInfo: -
packers (F-Prot): Unicode

undoreal · 01.07.2008, 08:33

Hallo woody und

Du wolltest dir doch nicht etwa Photoshop cracken oder? ^^
Ganz böse

Dafür würde ich dich gerne mal als Testperson gebrauchen...

Systembereinigung

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett! Sie dürfen unten rechts in Taskleiste nicht mehr angezwigt werden!
Unter File -> Database Update ->Start drücken.
Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!
Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!

Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!

Nun starte den Scan bitte durch Drücken des Start Buttons.
Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.

Die beiden logs hänge bitte an deinen nächsten Post an.
Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.

woody209 · 02.07.2008, 10:58

Hi

ich danke dir erstmal für deinen Hinweis...

Hab deine Anweisung befolgt und habe es nach Vorgaben durchgeführt.

Werde aus den Files aber nicht schlau, aber du wirst mir das hoffentlich erklären.

Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 02.07.2008 10:37:57
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Maximum heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8678A398 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 8678A398 -> hook not defined
\FileSystem\FastFat[IRP_MJ_CREATE] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_CLOSE] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_WRITE] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_SET_EA] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 863F8EB0 -> hook not defined
\FileSystem\FastFat[IRP_MJ_PNP] = 863F8EB0 -> hook not defined
\driver\disk[IRP_MJ_CREATE] = 8678A5D0 -> hook not defined
\driver\disk[IRP_MJ_CLOSE] = 8678A5D0 -> hook not defined
\driver\disk[IRP_MJ_READ] = 8678A5D0 -> hook not defined
\driver\disk[IRP_MJ_WRITE] = 8678A5D0 -> hook not defined
\driver\disk[IRP_MJ_PNP] = 8678A5D0 -> hook not defined
\driver\tcpip[IRP_MJ_CREATE] = AA70EC20 -> C:\WINDOWS\System32\vsdatant.sys
\driver\tcpip[IRP_MJ_CLOSE] = AA70EC20 -> C:\WINDOWS\System32\vsdatant.sys
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = AA70EC20 -> C:\WINDOWS\System32\vsdatant.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = AA70EC20 -> C:\WINDOWS\System32\vsdatant.sys
\driver\tcpip[IRP_MJ_CLEANUP] = AA70EC20 -> C:\WINDOWS\System32\vsdatant.sys
Checking - complete
2. Scanning memory
Number of processes found: 32
Analyzer: process under analysis is 2020 C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
Analyzer: process under analysis is 520 C:\Programme\AntiVir PersonalEdition Classic\sched.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 548 F:\Webseitentools\xampp\apache\bin\apache.exe
[ES]:Contains network functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 612 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
[ES]:Contains network functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
Analyzer: process under analysis is 724 C:\Programme\Bonjour\mDNSResponder.exe
[ES]:Contains network functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
Analyzer: process under analysis is 820 F:\Webseitentools\xampp\filezillaftp\filezillaserver.exe
[ES]:Contains network functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
Analyzer: process under analysis is 860 C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
[ES]:Application has no visible windows
Analyzer: process under analysis is 1376 C:\WINDOWS\system32\PnkBstrA.exe
[ES]:Contains network functionality
[ES]:Capable of sending mail ?!
[ES]:Application has no visible windows
[ES]:Located in system folder
Analyzer: process under analysis is 1300 F:\Webseitentools\xampp\apache\bin\apache.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Loads RASAPI DLL - may use dialing ?
Number of modules loaded: 344
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Direct reading C:\Dokumente und Einstellungen\woody\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\woody\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\woody\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\woody\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\woody\NTUSER.DAT
C:\WINDOWS\Installer\7e7e5.msi/{MS-OLE}/\76 >>> suspicion for AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)
File quarantined succesfully (C:\WINDOWS\Installer\7e7e5.msi)
Direct reading C:\WINDOWS\SchedLgU.Txt
Direct reading C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Direct reading C:\WINDOWS\system32\CatRoot2\edb.log
Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb
Direct reading C:\WINDOWS\system32\config\AppEvent.Evt
Direct reading C:\WINDOWS\system32\config\default
Direct reading C:\WINDOWS\system32\config\SAM
Direct reading C:\WINDOWS\system32\config\SecEvent.Evt
Direct reading C:\WINDOWS\system32\config\SECURITY
Direct reading C:\WINDOWS\system32\config\SysEvent.Evt
Direct reading C:\WINDOWS\system32\config\system
Direct reading C:\WINDOWS\system32\drivers\dtscsi.sys
Direct reading C:\WINDOWS\system32\drivers\fidbox.dat
Direct reading C:\WINDOWS\system32\drivers\fidbox.idx
Direct reading C:\WINDOWS\system32\drivers\sptd.sys
Direct reading C:\WINDOWS\system32\drivers\sptd0653.sys
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Direct reading C:\WINDOWS\WindowsUpdate.log
F:\Tool\stopuhr\ddetest.exe - Suspicion for Virus.Win32.PE_Type1(dangerousness level is 75%)
File quarantined succesfully (F:\Tool\stopuhr\ddetest.exe)
F:\Tool\stopuhr\Stopuhr.exe - Suspicion for Virus.Win32.PE_Type1(dangerousness level is 75%)
File quarantined succesfully (F:\Tool\stopuhr\Stopuhr.exe)
Direct reading F:\Webseitentools\xampp\apache\logs\access.log
Direct reading F:\Webseitentools\xampp\apache\logs\error.log
Direct reading F:\Webseitentools\xampp\mysql\data\the-illest.err
F:\Webseitentools\xampp\xampp-control.exe >>> suspicion for AdvWare.Win32.Vapsup.vq ( 0067241E 08CD5FC5 00198139 00205F71 151552)
File quarantined succesfully (F:\Webseitentools\xampp\xampp-control.exe)
gns-sh2a.bin MailBomb detected !
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
Checking disabled by user
Checking disabled by user
Files scanned: 347449, extracted from archives: 235789, malicious software found 0, suspicions - 2
Scanning finished at 02.07.2008 11:41:59
Time of scanning: 01:04:03
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address VirusInfo conference

jetzt die csv datei...

C:\WINDOWS\System32\vsdatant.sys 4 Kernel-mode hook
C:\WINDOWS\Installer\7e7e5.msi 2 Suspicion for AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)
F:\Tool\stopuhr\ddetest.exe 3 Suspicion for Virus.Win32.PE_Type1(dangerousness level is 75%)
F:\Tool\stopuhr\Stopuhr.exe 3 Suspicion for Virus.Win32.PE_Type1(dangerousness level is 75%)
F:\Webseitentools\xampp\xampp-control.exe 2 Suspicion for AdvWare.Win32.Vapsup.vq ( 0067241E 08CD5FC5 00198139 00205F71 151552)

Als ich die Dateien auf meinen Stick ziehen wollte, hat sich jedesmal der Explorer gemeldet. Und ich musste ihn daraufhin schließen.

Wie kommen diese Sachen auf meinen Cp und wie kann ich mich in Zukunft sichern. (welches Antivirustool ist am besten)

undoreal · 02.07.2008, 11:11

Systemanalyse

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Unter File -> Database Update Start drücken.
Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

woody209 · 02.07.2008, 11:21

Hi

habe ich das nicht gerade alles gemacht?
Oder, soll ich das denn nochmal alles machen?

Wenn ja, bitte kurz bescheid geben.

Danke dir

woody209 · 02.07.2008, 11:51

Hi

hab die Datei bei Rapidshare gepostet.

RapidShare: Easy Filehosting

bis dahin...

undoreal · 02.07.2008, 17:52

Bitte füge diese Skript ein unter: File -> Custom Skripts und lasse es ausführen.

Zitat:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\programme\bonjour\mdnsresponder.exe','');
DelBHO('{427B37EF-B6C5-4823-A97C-10B88977E398}');
DelBHO('{FB67797A-9F04-474D-8CD4-EE59662EFBC1}');
DelBHO('{D0943516-5076-4020-A3B5-AEFAF26AB263}');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD0653.SYS','');
DeleteFile('C:\WINDOWS\system32\ddcbxxYo.dll');
DeleteFile('C:\WINDOWS\system32\nnnkJBSm.dll');
DeleteFile('C:\WINDOWS\system32\qcmbisym.dll');
DeleteFile('C:\WINDOWS\system32\winwea32.dll');
DeleteFile('nnnkJBSm.dll');
DeleteFile('winwea32.dll');
DeleteFile('F:\veohtv\Plugins\reg\VeohToolbar.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Trojaner eingefangen, Bitte um Hilfe!!!

Log-Analyse und Auswertung: Trojaner eingefangen, Bitte um Hilfe!!!