|
Plagegeister aller Art und deren Bekämpfung: Logfile nach Malwarebytes... bitte mal schauen ob so okWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.08.2008, 09:45 | #16 |
| Logfile nach Malwarebytes... bitte mal schauen ob so ok Hi, nein Avira meldet keine Sachen die bereits in Quarantäne sind. Aber Du kannst im Log von Avira nachsehen, was da wo gefunden wurde. Poste das Log oder lasse Avira noch mal komplett suchen... Dazu das Controllcenter öffnen, unter Übersicht Ereignissse auswählen (ich habe hier kein Avira, mein Gedächnis...). Dort kannst Du dann filtern (Guard, bzw. Scanner).... Dann abkopieren und hier posten... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
20.08.2008, 10:01 | #17 |
| Logfile nach Malwarebytes... bitte mal schauen ob so ok Hab nochmal einen kompletten Scan mit Antivir gemacht, hier das Ergebnis:
__________________Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 20. August 2008 10:31 Es wird nach 1563576 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: *********** Computername: SATZINGER Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 12:35:01 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 12:35:01 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 12:35:01 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 12:35:01 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 06:43:14 ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 05:31:51 ANTIVIR3.VDF : 7.0.6.38 175104 Bytes 19.08.2008 05:30:29 Engineversion : 8.1.1.23 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.68 315770 Bytes 19.08.2008 05:39:45 AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 05:37:26 AERDL.DLL : 8.1.0.20 418165 Bytes 24.05.2008 07:36:55 AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 05:37:25 AEOFFICE.DLL : 8.1.0.22 192890 Bytes 19.08.2008 05:39:43 AEHEUR.DLL : 8.1.0.50 1388918 Bytes 19.08.2008 05:39:42 AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 05:40:45 AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 05:39:37 AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 05:31:10 AECORE.DLL : 8.1.1.8 172406 Bytes 01.08.2008 05:31:09 AEBB.DLL : 8.1.0.1 53617 Bytes 18.07.2008 12:35:01 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 12:35:01 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 12:35:01 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 05:31:07 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 12:35:01 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 12:35:01 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 12:35:01 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 12:34:59 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 12:34:59 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, G:, E:, F:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Mittwoch, 20. August 2008 10:31 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '29792' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'python.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WkSvW32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ideskservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'prevxcsi.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'prevxcsi.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WZQKPICK.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Im Laufwerk 'E:\' ist kein Datenträger eingelegt! Bootsektor 'F:\' [INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '56' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'G:\' <Volume> Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Ende des Suchlaufs: Mittwoch, 20. August 2008 10:56 Benötigte Zeit: 24:24 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 5726 Verzeichnisse wurden überprüft 277696 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 277695 Dateien ohne Befall 2661 Archive wurden durchsucht 3 Warnungen 0 Hinweise 29792 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Wieso konnte da was nicht geöffnet werden? |
20.08.2008, 10:30 | #18 |
| Logfile nach Malwarebytes... bitte mal schauen ob so ok Hi,
__________________das ist das Pagefile, da lagert Windows speicher aus, darum ist es von Windows gesperrt... Das andere sind wohl USB-Laufwerke, die nicht angeschlossen sind, oder? Hast Du das Log von Avira einsehen können? chris
__________________ |
20.08.2008, 10:45 | #19 |
| Logfile nach Malwarebytes... bitte mal schauen ob so ok Das sind Wechseldatenträger. Ehm, irgendwie lässt sich das nicht abkopieren... ich habe heute morgen 3x einen Malware Fund gehabt, DANACH habe ich nochmal Anti-Malwarebytes und einen kompletten Scan von AntiVir laufen lassen, beide waren sauber (hab ich ja gepostet). Hier hab ich die drei Malware mal abkopiert (dazu muss man aber jeden Fund separat anklicken ) In der Datei 'C:\System Volume Information\_restore{62D0B474-0124-4E38-ADD9-41679D247148}\RP11\A0001887.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.VB.gvb' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'C:\System Volume Information\_restore{62D0B474-0124-4E38-ADD9-41679D247148}\RP11\A0001883.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.VB.gvb' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'C:\System Volume Information\_restore{62D0B474-0124-4E38-ADD9-41679D247148}\RP10\A0001197.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Da die ja alle in Quarantäne verschoben wurden und ich die alle gelöscht habe und danach bei den Scans alles sauber war... müsste jetzt alle ok sein, oder? Habe mein JAVA bereits aktualisiert. Werde jetzt noch den Firefox draufmachen und diese Sandbox, soll ich Service Pack 3 noch installieren? Was ist mit den auto-updates von Microsoft, sollte man die machen? |
20.08.2008, 10:50 | #20 |
| Logfile nach Malwarebytes... bitte mal schauen ob so ok Hi, die von Dir genannten Dateien kommen aus der Systemwiederherstellung, bevor Du jetzt was weiter machst, müssen wir sie bereinigen und neu einstellen! Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten (unbedingt notwendig bevor Du SP3 aufspielst!) Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Nachdem Du einen Wiederherstellungspunkt erstellt hast, - Java wie beschrieben updaten - Firefox mit Plugins installieren - Komplettes Backup, auf jeden Fall Deine Daten sichern (falls es bei der Installation von SP3 zu Fehlern kommt) - SP3 installieren - automatische Updates einstellen. - Firewall (z. B. Zonealarm) installieren (wenn der Rechner betrieblich genutz wird, dann musst Du die kaufen (aber eigentlich darf ich dann auch keinen Support hier liefern, aua))... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (20.08.2008 um 11:04 Uhr) |
20.08.2008, 11:17 | #21 |
| Logfile nach Malwarebytes... bitte mal schauen ob so ok Öhm... ja gut mach ich... Mist hab schon Firefox udn JAVA installiert, ist das jetzt schlimm? Also, ich starte nachdem ich die Systemwiederherstellung deaktiviert habe im abgesicherten Modus und bereinige mit... ja mit was denn? Langt Antivir? Na ja, ich versuchs jetzt einfach mal.... uaaahhh... |
20.08.2008, 14:53 | #22 |
| Logfile nach Malwarebytes... bitte mal schauen ob so ok So, hat alles geklappt denke ich. Werde dann die notwendigen Dinge noch installieren... Vielen Danke für die Hilfe!!! Was meinst Du eigentlich damit, Du darfst dann hier keinen Support liefern...? Wieso denn? |
20.08.2008, 15:38 | #23 |
| Logfile nach Malwarebytes... bitte mal schauen ob so ok Hi, hier im Forum werden nur private PCs "bearbeitet"... Dein Laptop ist über beide Ohren mit vundo dicht, aber die Bereinigung läuft ja schon und Du bist in guten Händen... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
20.08.2008, 15:49 | #24 |
| Logfile nach Malwarebytes... bitte mal schauen ob so ok Oh, achso, das wusste ich nicht... aber ich denke es sollte jetzt echt alles weg sein, hoffe ich wenigstens Hab alles so gemacht wie Du gesagt hast! Und am Laptop sitze ich grade... der ist auch wirklich nur privat |
Themen zu Logfile nach Malwarebytes... bitte mal schauen ob so ok |
1.tmp, 8.tmp, alles gelöscht, antivirus, anzeige, autorun, blöd, dateien, desktop, einstellungen, explorer, frage, gelöscht, hijack.displayproperties, hijack.wallpaper, internet, internet explorer, launch, logfile, löschen, löschen?, malwarebytes, microsoft, microsoft security, programme, quara, registrierungsschlüssel, rogue.antivirus2008, rogue.multiple, rootkit.agent, security, software, system, system32, temp, trojan.agent, trojan.downloader, trojaner, wallpaper |