Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Patched.AA515 Löschung

TR/Patched.AA515 Löschung


Log-Analyse und Auswertung: TR/Patched.AA515 Löschung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 27.09.2008, 19:36   #1
Helvetic_Man
 
TR/Patched.AA515 Löschung - Standard

TR/Patched.AA515 Löschung


Hallo,
bin neu hier und auch unerfahren was Viren angeht.
Hab hier einen PC (gehört nicht mir), der mit 200 Viren/adawares usw. infisziert war. Neuaufsetzen nicht möglich, da die XP-CD und die Treibercd fehlt (leider ein Notebook). Die meisten Viren sind weg. internet funktioniert wieder ohne Probleme. Auch Flash-Videos usw. gehen wieder. Das waren ursprünglich die Probleme.

TR/Patched.AA.515 ist ein Virus, den ich mit Antivir nicht wegkriege. Hab lange versucht..geht nicht. Es gibt glaube ich noch einen zweiten Virus...bzw. Trojaner. Werde später nochmals scannen müssen, um sicher zu sein, dass es den noch gibt.

Hijack-Datei folgt gleich. Ich hoffe auf Hilfe --> Das genaue Vorgehen, wie ich diesen nervigen Trojaner wegkriege, mein ich damit.
Danke im Vorraus! Freue mich schon.

Kode:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:27:12, on 27.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.******.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programme\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Intense Registry Service] IntEdReg.exe /CHECK
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [FreeCall] "C:\programme\freecall.com\freecall\freecall.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://tdserver.bitstream.com/tdserver.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 9218 bytes
Persöhnliche Meinung:
Ich erkenn irgendwie den Fehler nicht.

edit2: mist, es sind noch mehr Viren, die nicht gelöscht werden konnten. Hilfee
Geändert von Helvetic_Man (27.09.2008 um 20:28 Uhr)

Alt 27.09.2008, 20:39   #2
Helvetic_Man
 
TR/Patched.AA515 Löschung - Standard

TR/Patched.AA515 Löschung


Wieso kann ich nicht mehr editieren?

Ich benutze gerade Malwarebytes und poste noch den Log anschliessend.

Log von antivir folgt auch noch


Ich hatte einst Antivirus XP...das scheint nun aber gelöscht zu sein.

Es sind etwa 6 Viren, die sich nicht komplett löschen lassen.

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 27. September 2008  18:07

Es wird nach 1645581 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Abgesicherter Modus mit Netzwerk Support
Benutzername:     Administrator
Computername:     PC219198828497

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  26.06.2008 08:57:49
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 13:54:15
ANTIVIR2.VDF  : 7.0.6.217    3773440 Bytes  26.09.2008 21:18:36
ANTIVIR3.VDF  : 7.0.6.218       2048 Bytes  26.09.2008 21:18:36
Engineversion : 8.1.1.35  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  09.07.2008 08:38:31
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  21.09.2008 19:27:22
AESCN.DLL     : 8.1.0.23      119156 Bytes  09.09.2008 13:09:18
AERDL.DLL     : 8.1.1.2       438644 Bytes  21.09.2008 19:27:21
AEPACK.DLL    : 8.1.2.3       364918 Bytes  24.09.2008 19:23:10
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  21.09.2008 19:27:21
AEHEUR.DLL    : 8.1.0.59     1438071 Bytes  21.09.2008 19:27:20
AEHELP.DLL    : 8.1.0.15      115063 Bytes  09.07.2008 08:38:31
AEGEN.DLL     : 8.1.0.36      315764 Bytes  09.09.2008 13:09:15
AEEMU.DLL     : 8.1.0.7       430452 Bytes  09.09.2008 13:09:14
AECORE.DLL    : 8.1.1.11      172406 Bytes  09.09.2008 13:09:14
AEBB.DLL      : 8.1.0.1        53617 Bytes  24.04.2008 08:50:42
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  09.09.2008 13:09:13
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 27. September 2008  18:07

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> 'C:\WINDOWS\Explorer.EXE'
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Prozess 'explorer.exe' wird beendet
C:\WINDOWS\Explorer.EXE
    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [HINWEIS]   Der Treiber konnte nicht initialisiert werden.
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.

Es wurden '21' Prozesse mit '20' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\Explorer.EXE
    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\WINDOWS\Explorer.EXE
    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [HINWEIS]   Der Treiber konnte nicht initialisiert werden.
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.

Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinFixer.zip
    [FUND]      Enthält verdächtigen Code GEN/PwdZIP
    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494c5b0f.qua' verschoben!
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP20\A0002011.dll
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Patched.AA.515
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\WINDOWS\system32\tdssl.dll
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Small.acpi
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdsslog.dll
    [FUND]      Ist das Trojanische Pferd TR/Injector.Light.B
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdssmain.dll
    [FUND]      Ist das Trojanische Pferd TR/Injector.Light.C
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\tdssserf.dll
    [FUND]      Ist das Trojanische Pferd TR/Dldr.FraudLoad.vbxt
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\f8b102ed.sys
    [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Samstag, 27. September 2008  18:58
Benötigte Zeit: 51:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   4963 Verzeichnisse wurden überprüft
 330730 Dateien wurden geprüft
     11 Viren bzw. unerwünschte Programme wurden gefunden
      1 Dateien wurden als verdächtig eingestuft
      6 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 330717 Dateien ohne Befall
   7286 Archive wurden durchsucht
      5 Warnungen
     11 Hinweise
Alle Probleme wie Antivirus XP und spywwares usw. hab ich mit Advanced WIndowsCare V2 Personal und Spyware Doctor gelöst. Ausserdem hab ich Spybot benutzt.
Mit adaware hab versucht zu scannen, doch gab es immer einen BLuescreen.


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1215
Windows 5.1.2600 Service Pack 2

27.09.2008 22:10:13
mbam-log-2008-09-27 (22-10-13).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 89205
Laufzeit: 1 hour(s), 17 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 11
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhc7dvj0elb3 (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\**\Anwendungsdaten\rhc7dvj0elb3\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP20\A0004018.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss47bd.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss48e6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss4a0f.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss57c0.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss69b1.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdss70b6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssa2c7.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssa50a.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssa79a.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssbefa.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssc1ad.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssc2d6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssc3f0.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssd191.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssd1b7.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssd4ae.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssd605.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdsse445.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssed1f.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tdssfc71.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
__________________

Geändert von Helvetic_Man (27.09.2008 um 21:15 Uhr)

Alt 28.09.2008, 11:03   #3
Helvetic_Man
 
TR/Patched.AA515 Löschung - Standard

TR/Patched.AA515 Löschung


Schade...hätte gerne ne Antwort erfahren...
naja dann werd ich das selber mal studieren müssen.


Frage, die ihr mir vielleicht trotzdem beantworten könntet:

Viren etc., die in die Quarantäne geschickt worden sind. Wo genau befinden sich die? Sind die nun dort fest? Malwarebytes hat einige Viren dorthin geschickt.... darf ich nun Malwarebytes nie wieder deinstallieren? Wie sieht das aus?


PS: Die Viren tauchen immer noch auf.
__________________
Alt 28.09.2008, 11:06   #4
raman
 
TR/Patched.AA515 Löschung - Standard

TR/Patched.AA515 Löschung


Meine Meinung dazu. Kurz und knapp:

Gepatchte Systemdateien und zusaetzlich andere Malware= neuaufsetzen....
__________________
MfG Ralf

Alt 28.09.2008, 11:24   #5
Helvetic_Man
 
TR/Patched.AA515 Löschung - Standard

TR/Patched.AA515 Löschung


Neuaufsetzen ist erst in einem Monat oder später möglich.

oder versteh ich dich falsch?

wie sieht das wegen der Quarantäne aus? Möchte gerne das Malware deinstallieren, aber wenn die Quarantäne damit nicht mehr gewährleistet wäre, müsste ich das ja lassen.


Alt 28.09.2008, 11:54   #6
raman
 
TR/Patched.AA515 Löschung - Standard

TR/Patched.AA515 Löschung


Wenn die DAteien in Quarantaene sind, sind sie harmlos... Es wird einiges mehr an Malware auf deinem Rechner sein, als Antivir/Mbam und HijackThis dir anzeigen werden. Darum waere neu aufsetzen nicht falsch, bzw wenn du das erst in einem Monat machen kannst, dann wuerde ich in der Zeit nicht unbedingt ins Internet einwaehlen, denn dann kommt noch mehr Malware auf den Rechner...
__________________
--> TR/Patched.AA515 Löschung

Antwort

Themen zu TR/Patched.AA515 Löschung
1.exe, ad-aware, antivir, antivirus, avira, bho, fehler, google, helper, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, logfile, monitor, nicht möglich, registry, rundll, scan, security, software, spyware, system, viren, virus, windows, windows xp, wrapper


« Hilfe!!!! Verdacht auf Hacker, Trojaner, Viren | Verschieden Einträge gefunden in Malwarebytes »


Ähnliche Themen: TR/Patched.AA515 Löschung


  1. Bitte um Löschung des Benutzeraccounts
    Lob, Kritik und Wünsche - 14.02.2015 (0)
  2. Problem: Win8..TR/Patched.Ren.Gen..und..TR/Patched.Ren.Gen2
    Plagegeister aller Art und deren Bekämpfung - 07.11.2014 (5)
  3. Löschung vom Refog-Keylogger
    Plagegeister aller Art und deren Bekämpfung - 15.05.2014 (11)
  4. Incredibar-Löschung vergeblich
    Plagegeister aller Art und deren Bekämpfung - 11.09.2012 (9)
  5. Datei C:\Windows\System32\services.exe infiziert: W32/Patched.UB, Patched.UA, Patched.ZA
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (5)
  6. Löschung des Accounts
    Lob, Kritik und Wünsche - 17.12.2010 (3)
  7. TR/Patched.GR.10 in explorer.exe & TR/Patched.KL.238 in winlogon.exe
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  8. Hilfe für Löschung der Trojaner TR/Patched.DY.1 und TR/Vundo.Gen
    Log-Analyse und Auswertung - 28.01.2009 (0)
  9. Löschung des Accounts
    Lob, Kritik und Wünsche - 16.11.2008 (1)
  10. Frage zur Löschung / Nicht-Löschung von Prozessen (HiJack detected)
    Log-Analyse und Auswertung - 20.07.2007 (3)
  11. Löschung Festplatte
    Alles rund um Windows - 02.02.2005 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Patched.AA515 Löschung - Hallo, bin neu hier und auch unerfahren was Viren angeht. Hab hier einen PC (gehört nicht mir), der mit 200 Viren/adawares usw. infisziert war. Neuaufsetzen nicht möglich, da die XP-CD - TR/Patched.AA515 Löschung...
Archiv
Du betrachtest: TR/Patched.AA515 Löschung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27