|
Plagegeister aller Art und deren Bekämpfung: Antivirus XP2008 - ein weiterer betroffener :)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.09.2008, 12:34 | #1 |
| Antivirus XP2008 - ein weiterer betroffener :) Tach zusammen, auch ich habe mir den antivirus xp 2008 eingefangen. habe nicht auf das pop-up geklickt, also auch nix installiert. habe bereits ein paar scans durchgeführt, die in den anderen threads zu dem thema beschrieben wurden. habe die gefunden viren/trojaner was auch immer gelöscht. meine frage ist nun, soll ich hijack, antivir, und antimalware report hier eintragen, damit ihr mir sagen könnt, ob alles weg ist, oder muss ich sowieso mein system neu aufsetzen? habe schon mehrfach gehört, dass das reine löschen solcher viren nichts bringt... |
21.09.2008, 08:25 | #2 |
| Antivirus XP2008 - ein weiterer betroffener :) ohje da haste dir wohl was übles eingefangen. Poste bitte die Logs von Antimalware, hijack und Antivir. Andernfalls können wir dir da leider nicht helfen.
__________________
__________________ |
21.09.2008, 11:15 | #3 |
/// TB-Ausbilder | Antivirus XP2008 - ein weiterer betroffener :) Hehe,
__________________ich darf vervollständigen? Die Anleitunngen findest du hier HijackThis und Malwarebytes und Antivir solltest du alleine schaffen. Wir glauben an dich lg myrtille
__________________ |
22.09.2008, 14:42 | #4 |
| Antivirus XP2008 - ein weiterer betroffener :) Tag zusammen, hier meine logs (ich poste mal bei Antivir und Malwarebytes auch die Logs vor Löschung der schädlichen Dateien, damit ihr wisst, was hier los war) Antivir alt Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 15. September 2008 13:59 Es wird nach 1613566 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: * Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 19.07.2008 10:44:38 AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 10:44:38 LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 10:44:39 LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 10:44:39 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 19:37:59 ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 15:53:55 ANTIVIR3.VDF : 7.0.6.155 18944 Bytes 14.09.2008 18:48:37 Engineversion : 8.1.1.28 AEVDF.DLL : 8.1.0.5 102772 Bytes 27.04.2008 21:24:43 AESCRIPT.DLL : 8.1.0.70 319866 Bytes 04.09.2008 10:05:01 AESCN.DLL : 8.1.0.23 119156 Bytes 17.07.2008 10:20:38 AERDL.DLL : 8.1.1.1 397683 Bytes 04.09.2008 10:05:00 AEPACK.DLL : 8.1.2.1 364917 Bytes 17.07.2008 10:20:37 AEOFFICE.DLL : 8.1.0.23 196987 Bytes 04.09.2008 10:04:57 AEHEUR.DLL : 8.1.0.51 1397111 Bytes 04.09.2008 10:04:55 AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 08:56:06 AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 18:05:29 AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 16:33:54 AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 10:04:49 AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 10:20:36 AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 10:44:38 AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 10:44:38 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 16:33:51 AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 10:44:38 AVARKT.DLL : 1.0.0.23 307457 Bytes 27.04.2008 21:24:42 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 10:44:38 SQLITE3.DLL : 3.3.17.1 339968 Bytes 27.04.2008 21:24:43 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 10:44:39 NETNT.DLL : 8.0.0.1 7937 Bytes 27.04.2008 21:24:43 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 10:44:27 RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 10:44:28 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 15. September 2008 13:59 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '41' Prozesse mit '41' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '58' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\.tt7E.tmp.vbs [FUND] Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002 [HINWEIS] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\nsn87.tmp\euladlg.dll [FUND] Ist das Trojanische Pferd TR/FakeAV.AM [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Montag, 15. September 2008 14:59 Benötigte Zeit: 1:00:04 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7391 Verzeichnisse wurden überprüft 311733 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 5 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 311725 Dateien ohne Befall 1563 Archive wurden durchsucht 3 Warnungen 5 Hinweise Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 22. September 2008 14:52 Es wird nach 1627593 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: * Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 19.07.2008 10:44:38 AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 10:44:38 LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 10:44:39 LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 10:44:39 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 19:37:59 ANTIVIR2.VDF : 7.0.6.153 3341312 Bytes 12.09.2008 15:53:55 ANTIVIR3.VDF : 7.0.6.191 227840 Bytes 22.09.2008 10:15:23 Engineversion : 8.1.1.34 AEVDF.DLL : 8.1.0.5 102772 Bytes 27.04.2008 21:24:43 AESCRIPT.DLL : 8.1.0.76 319867 Bytes 18.09.2008 19:51:11 AESCN.DLL : 8.1.0.23 119156 Bytes 17.07.2008 10:20:38 AERDL.DLL : 8.1.1.2 438644 Bytes 18.09.2008 19:51:08 AEPACK.DLL : 8.1.2.1 364917 Bytes 17.07.2008 10:20:37 AEOFFICE.DLL : 8.1.0.25 196986 Bytes 18.09.2008 19:51:03 AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18.09.2008 19:51:01 AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 08:56:06 AEGEN.DLL : 8.1.0.36 315764 Bytes 18.08.2008 18:05:29 AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 16:33:54 AECORE.DLL : 8.1.1.11 172406 Bytes 04.09.2008 10:04:49 AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 10:20:36 AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 10:44:38 AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 10:44:38 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 16:33:51 AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 10:44:38 AVARKT.DLL : 1.0.0.23 307457 Bytes 27.04.2008 21:24:42 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 10:44:38 SQLITE3.DLL : 3.3.17.1 339968 Bytes 27.04.2008 21:24:43 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 10:44:39 NETNT.DLL : 8.0.0.1 7937 Bytes 27.04.2008 21:24:43 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 10:44:27 RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 10:44:28 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 22. September 2008 14:52 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '40' Prozesse mit '40' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '60' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\.tt83.tmp [FUND] Ist das Trojanische Pferd TR/Drop.Age.1616607 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b96c2.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Montag, 22. September 2008 15:27 Benötigte Zeit: 35:35 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6653 Verzeichnisse wurden überprüft 190120 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 190116 Dateien ohne Befall 1363 Archive wurden durchsucht 3 Warnungen 1 Hinweise malwarebytes alt: Code:
ATTFilter Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1154 Windows 5.1.2600 Service Pack 2 15.09.2008 13:55:21 mbam-log-2008-09-15 (13-55-21).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 115334 Laufzeit: 38 minute(s), 5 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 7 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 13 Infizierte Speicherprozesse: C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully. Infizierte Speichermodule: C:\WINDOWS\system32\blphclw4j0ec25.scr (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphclw4j0ec25 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcgw4j0ec25 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\blphclw4j0ec25.scr (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\system32\lphclw4j0ec25.exe (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\system32\phclw4j0ec25.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\.tt83.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. Code:
ATTFilter Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1190 Windows 5.1.2600 Service Pack 2 22.09.2008 14:50:17 mbam-log-2008-09-22 (14-50-17).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 106930 Laufzeit: 47 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
22.09.2008, 14:43 | #5 |
| Antivirus XP2008 - ein weiterer betroffener :) hijackthis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:29:28, on 22.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - h**ps://www-307.ibm.com/pc/support/access/aslibmain/content/AcpIR.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202682360550 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- End of file - 7632 bytes Besten Dank schonmal |
27.09.2008, 17:08 | #6 |
| Antivirus XP2008 - ein weiterer betroffener :) Oha, hab gerade gesehen dass ich eine Warnung bekommen habe, weil ich Angaben vergessen habe...deswegen antwortet mir wohl keiner Also mein Betriebssystem ist Windows XP. Fehlen sonst noch Angaben?? Es wäre wirklich super, wenn mir jemand helfen kann, ich habe die ganze Zeit Angst, meinen Laptop zu benutzen |
27.09.2008, 17:11 | #7 |
/// TB-Ausbilder | Antivirus XP2008 - ein weiterer betroffener :) Hi, normalerweise bearbeitet die Person, die zuerst Hilfe leistet das Thema auch bis zum Ende. Phönixfeder scheint sich allerdings endgültig verabschiedet zu habe und nicht wiederzukommen. :/ Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.) lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
27.09.2008, 17:47 | #8 |
| Antivirus XP2008 - ein weiterer betroffener :) Hey, Danke schonmal für deine Antwort! Hier sind die beiden Logs: http://www.file-upload.net/download-1141328/info.txt.html http://www.file-upload.net/download-1141331/log.txt.html Danke! |
27.09.2008, 19:02 | #9 |
/// TB-Ausbilder | Antivirus XP2008 - ein weiterer betroffener :) Die logs sehen sauber aus. Hast du noch Probleme? lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
27.09.2008, 19:49 | #10 |
Gast | Antivirus XP2008 - ein weiterer betroffener :) Symtom beseitigt, alles gut ? Wo ist der Hinweis auf die erfolgte Kompromittierung des Systems ? Wie kann man dieses System als "vertrauenswürdig" bezeichen und den User guten Gewissens damit z.B. Onlinebanking machen lassen ? Ich wundere mich über die "Kompetenz" hier. Ein mit Roque Antivirus verseuchtes System muss neu aufgesetzt werden. Alle Passwörter sind zu ändern und bei Nutzung von Online-Banking die Bank zu informieren. |
27.09.2008, 22:10 | #11 | |
Administrator > Competence Manager | Antivirus XP2008 - ein weiterer betroffener :)Zitat:
Aber wenn du deine Augen öffnen willst, dann schau mal außerhalb der deutschen Foren, zum Beispiel auf MajorGeeks oder bleeping.com, da wirst du das Thema Neuinstallation nie (bis selten!) finden! (nur in Ausnahmesituationen!) Wenn du dazu weiterhin noch diskutieren möchtest, dann benutze die Boardsuche zum Thema "Grundsatzdiskussion", da wirst du sicherlich alle Antworten finden! Aber bitte keine Dialogstörung hier in diesem Thema. Danke.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
28.09.2008, 00:00 | #12 | |
Gast | Antivirus XP2008 - ein weiterer betroffener :)Zitat:
Aber danke fürden Tip. Du meinst wirklich das Chip-Forum , wo man dich wegen zuviel Kompetenz gekickt hat ? LOL Trotzdem Danke für den Tip. Die können es nämlich und veralbern nicht die hilfesuchenden User. Mich bitte hier sperren, Danke. |
28.09.2008, 11:34 | #13 | |
Administrator > Competence Manager | Antivirus XP2008 - ein weiterer betroffener :)Zitat:
Augen auf und richtig lesen bitte, ich habe mich selbst löschen lassen dank einer PN die ich an Conny95 geschickt habe... EOD, back to topic
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
28.09.2008, 12:02 | #14 |
| Antivirus XP2008 - ein weiterer betroffener :) das ist nämlich genau das was ich wissen wollte...probleme habe ich keine mehr, aber ist jetzt alles sicher? traue mich nämlich nicht mehr onlinebanking zu machen... muss ich denn jetzt alles platt machen oder ist das problem jetzt beseitigt? bin einfach nur total verunsichert, weil ich nicht wirklich viel ahnung habe Geändert von miezekatz (28.09.2008 um 12:09 Uhr) |
28.09.2008, 12:13 | #15 |
/// TB-Ausbilder | Antivirus XP2008 - ein weiterer betroffener :) Hi, der Rechner sollte eigentlich sicher sein. Es besteht natürlich das Risiko, dass du unbekannte, ungesehene Malware auf deinem Rechner hast, die niemand bemerkt hat. Das Risiko ist jedoch sehr klein und würde auch bestehen, wenn du dir vorher kein Antivirus XP 2008 installiert hättest. Millionen von Menschen haben sich bereits mit diesem Rogue infiziert und mit Malwarebytes bereinigen lassen. Bisher ist mir kein Fall bekannt, in dem danach noch Probleme auftraten. Es gibt jedoch keine 100% Sicherheit. Würdest du das wollen, müsstest du den Rechner eigentlich nach jedem Internetbesuch, nach jedem angeschlossenen USB-Stick, nach jedem Start eigentlich formatieren und selbst dann gäbe es noch Wege dich zu infizieren. Passwörter sollte man sowieso immer mal wieder ändern, einige sagen sogar alle 3 Monate lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu Antivirus XP2008 - ein weiterer betroffener :) |
alles weg, andere, anderen, antimalware, antivirus, antivirus xp 2008, aufsetzen, bereits, durchgeführt, eintragen, frage, gefunde, hijack, installier, löschen, mehrfach, neu, neu aufsetzen, nichts, pop-up, report, scans, system, system neu, system neu aufsetzen, thema, threads, zusammen |