Hallo,
ich hab mir über ne Seite einen Virus eingefangen. Ich denke mal es ist der XP 2008.
Ich hab nach meinen Symptomen gegoogelt und folgendes gefunden:
BDS/Frauder.bu - Vollstndig
Genau mit dem Teil hab ich mich infiziert.
Ich hatte auch noch das Problem, dass die Links von google und anderen Suchseiten verändert worden sind, Downloads abgeborchen haben und viele Seiten garnicht verfügbar waren.
Ich hab jedenfalls die Regestryeinträge wieder entfernt und Dann Avira Spybot S&D und
Malwarebytes drüberlaufen lassen.
die Fehler sindjetzt alle behoben, aber wich würde gerne wissen ob ich auch clean bin.
Ich weiß ,ohne neu aufsetzen kann man nie 100% clean sein, aber das würde ich mir gerne erpsaren.
Wäre nett wenn ihr mal über meine Logs drüberschauen könnt:
Zitat:
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1118
Windows 5.1.2600 Service Pack 3
05.09.2008 22:05:14
mbam-log-2008-09-05 (22-05-14).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47122
Laufzeit: 1 minute(s), 57 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
|
Anbei noch das Log von Avira. Das war der erste Schritt den ich gemacht habe.
Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 05. September 2008 19:48
Es wird nach 1598352 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HARALD
Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 25.07.2008 20:44:01
AVSCAN.DLL : 8.1.4.0 48897 Bytes 25.07.2008 20:44:01
LUKE.DLL : 8.1.4.5 164097 Bytes 25.07.2008 20:44:01
LUKERES.DLL : 8.1.4.0 12545 Bytes 25.07.2008 20:44:01
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 17:12:12
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 14:54:02
ANTIVIR2.VDF : 7.0.6.94 2998784 Bytes 31.08.2008 16:53:58
ANTIVIR3.VDF : 7.0.6.118 179712 Bytes 04.09.2008 18:29:17
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 24.04.2008 15:42:58
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 03.09.2008 18:30:03
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 16:28:56
AERDL.DLL : 8.1.1.1 397683 Bytes 03.09.2008 18:30:02
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 16:28:54
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 03.09.2008 18:30:01
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 03.09.2008 18:30:00
AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 15:18:12
AEGEN.DLL : 8.1.0.36 315764 Bytes 20.08.2008 16:45:18
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 15:43:26
AECORE.DLL : 8.1.1.11 172406 Bytes 03.09.2008 18:29:58
AEBB.DLL : 8.1.0.1 53617 Bytes 25.07.2008 20:44:01
AVWINLL.DLL : 1.0.0.12 15105 Bytes 25.07.2008 20:44:01
AVPREF.DLL : 8.0.2.0 38657 Bytes 25.07.2008 20:44:01
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:43:24
AVREG.DLL : 8.0.0.1 33537 Bytes 25.07.2008 20:44:01
AVARKT.DLL : 1.0.0.23 307457 Bytes 24.04.2008 15:42:57
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 25.07.2008 20:44:01
SQLITE3.DLL : 3.3.17.1 339968 Bytes 24.04.2008 15:42:57
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 25.07.2008 20:44:01
NETNT.DLL : 8.0.0.1 7937 Bytes 24.04.2008 15:42:57
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 25.07.2008 20:43:59
RCTEXT.DLL : 8.0.52.0 86273 Bytes 25.07.2008 20:43:59
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Freitag, 05. September 2008 19:48
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ad-Aware2007.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atitray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTSysVol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'arpwrmsg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'arservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '69' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kfhzu34j.default\Cache\270E303Fd01
[0] Archivtyp: CAB SFX (self extracting)
--> \0x0407.ini
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\.tt44.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\.tt5.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\.tt6.tmp.vbs
[FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\nsd3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\nsi4B.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\nst3.tmp\euladlg.dll
[FUND] Ist das Trojanische Pferd TR/FakeAV.AM
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Ende des Suchlaufs: Freitag, 05. September 2008 20:39
Benötigte Zeit: 51:23 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
8877 Verzeichnisse wurden überprüft
442718 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
6 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
442709 Dateien ohne Befall
8762 Archive wurden durchsucht
4 Warnungen
6 Hinweise
|
Dort steht allerdings nichts von dem BDS/Frauder.bu. Symptome waren aber genau die selben.
05.09.2008, 22:31
Baum-Darstellung