Zitat:

Zitat von undoreal

Hm, so lustig finde ich das garnicht.

Lösche den Ordner bitte.

Dann die online Überprüfunge und dann weiter mit SUPERAntiSpyware und MBA .

Wie kann ich sie löschen? Wenn ich diese Datei aud der Suche-Balken schriebe und betätige. Komme ich direkt zu der Textdatei.

Lösche einfach den ganzen Ordner

Zitat:

C:\1151026209

Ordner markieren und #Entf# drücken. Mit "Ja" bestätigen. Papierkorb leeren.

Zitat:

Zitat von undoreal

Lösche einfach den ganzen Ordner Ordner markieren und #Entf# drücken. Mit "Ja" bestätigen. Papierkorb leeren.

Danke habe ihn gelöscht!

Binjetzt gerade dabei die Dateien auf VL aufzuladen!

Da sind die VL Logs!

c:\windows\system32\drivers\396540b3.sys

Code: Alles auswählenAufklappen

ATTFilter

0 bytes size received / Se ha recibido un archivo vacio
         

c:\windows\system32\spmsgXP_2k3.dll

[code]Datei spmsgXP_2k3.dll empfangen 2009.01.07 19:23:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.07 -
AhnLab-V3 2009.1.8.0 2009.01.07 -
AntiVir 7.9.0.45 2009.01.07 -
Authentium 5.1.0.4 2009.01.07 -
Avast 4.8.1281.0 2009.01.07 -
AVG 8.0.0.199 2009.01.07 -
BitDefender 7.2 2009.01.07 -
CAT-QuickHeal 10.00 2009.01.06 -
ClamAV 0.94.1 2009.01.07 -
Comodo 891 2009.01.07 -
DrWeb 4.44.0.09170 2009.01.07 -
eSafe 7.0.17.0 2009.01.06 -
eTrust-Vet 31.6.6296 2009.01.07 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.07 -
F-Secure 8.0.14470.0 2009.01.07 -
Fortinet 3.117.0.0 2009.01.07 -
GData 19 2009.01.07 -
Ikarus T3.1.1.45.0 2009.01.07 -
K7AntiVirus 7.10.581 2009.01.07 -
Kaspersky 7.0.0.125 2009.01.07 -
McAfee 5487 2009.01.07 -
McAfee+Artemis 5487 2009.01.06 -
Microsoft 1.4205 2009.01.07 -
NOD32 3747 2009.01.07 -
Norman 5.99.02 2009.01.07 -
Panda 9.0.0.4 2009.01.07 -
PCTools 4.4.2.0 2009.01.07 -
Prevx1 V2 2009.01.07 -
Rising 21.11.22.00 2009.01.07 -
SecureWeb-Gateway 6.7.6 2009.01.07 -
Sophos 4.37.0 2009.01.07 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.07 -
TheHacker 6.3.1.4.210 2009.01.07 -
TrendMicro 8.700.0.1004 2009.01.07 -
VBA32 3.12.8.10 2009.01.07 -
ViRobot 2009.1.7.1548 2009.01.07 -
VirusBuster 4.5.11.0 2009.01.07 -
weitere Informationen
File size: 14640 bytes
MD5...: 066f7fcca265d01a5b7eaf41ade789b1
SHA1..: dcfd5d499c71f83d4a3b7026728ad79eeab13f89
SHA256: 93bb82eb2786708add9f1538283658ee949aa79e658196f0386ad88fb61320b1
SHA512: 7fa09d093df7bb95f52badc463123cef848dbc26e8da2a3e014289a41ecf273b
546182210e70f42c408f84d673f8811c74e142f9c60978a20f89f6b1d6d9acaf
ssdeep: 192:4W0boplW7QdvzVL/CldolMGoVOu39DKmHj78iCYsB:4W087W7QdvzVLCcM4a
eWHCbB
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10000000
timedatestamp.....: 0x45775589 (Wed Dec 06 23:43:05 2006)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x1668 0x1800 3.38 58279958ae1f81ee5ecac45d4eb4be47
.reloc 0x3000 0x8 0x200 0.02 2c38765194d27b75f56d0565088a53ee

( 0 imports )

( 0 exports )
[\code]

c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf

Code: Alles auswählenAufklappen

ATTFilter

0 bytes size received / Se ha recibido un archivo vacio
         

c:\windows\system32\drivers\MsftWdf_Kernel_01007_C

Code: Alles auswählenAufklappen

ATTFilter

0 bytes size received / Se ha recibido un archivo vacio
         

c:\windows\system32\wdfcoinstaller01007.dll

Code: Alles auswählenAufklappen

ATTFilter

 Datei wdfcoinstaller01007.dll empfangen 2009.01.07 19:30:42 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.73	2009.01.07	-
AhnLab-V3	2009.1.8.0	2009.01.07	-
AntiVir	7.9.0.45	2009.01.07	-
Authentium	5.1.0.4	2009.01.07	-
Avast	4.8.1281.0	2009.01.07	-
CAT-QuickHeal	10.00	2009.01.06	-
ClamAV	0.94.1	2009.01.07	-
Comodo	891	2009.01.07	-
DrWeb	4.44.0.09170	2009.01.07	-
eSafe	7.0.17.0	2009.01.06	-
eTrust-Vet	31.6.6296	2009.01.07	-
Ewido	4.0	2008.12.31	-
F-Prot	4.4.4.56	2009.01.07	-
Fortinet	3.117.0.0	2009.01.07	-
GData	19	2009.01.07	-
Ikarus	T3.1.1.45.0	2009.01.07	-
K7AntiVirus	7.10.581	2009.01.07	-
Kaspersky	7.0.0.125	2009.01.07	-
McAfee	5487	2009.01.07	-
McAfee+Artemis	5487	2009.01.06	-
Microsoft	1.4205	2009.01.07	-
NOD32	3747	2009.01.07	-
Norman	5.99.02	2009.01.07	-
Panda	9.0.0.4	2009.01.07	-
PCTools	4.4.2.0	2009.01.07	-
Rising	21.11.22.00	2009.01.07	-
SecureWeb-Gateway	6.7.6	2009.01.07	-
Sophos	4.37.0	2009.01.07	-
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2009.01.07	-
TheHacker	6.3.1.4.210	2009.01.07	-
TrendMicro	8.700.0.1004	2009.01.07	-
VBA32	3.12.8.10	2009.01.07	-
ViRobot	2009.1.7.1548	2009.01.07	-
VirusBuster	4.5.11.0	2009.01.07	-
weitere Informationen
File size: 1112288 bytes
MD5...: 81d9bcceb78795cd0315b24960f2d130
SHA1..: a697a3d09e3f9d0ee69df229d14e7e9ae671829b
SHA256: bcf6fbbdf1ad402dc761f87d79688c9b81aa70d63b835fc6618fc8e0686f39f4
SHA512: 0107bab9c18d5227dfc8734f27b7f9ce4ada9e9c79f85ef85bcb80ebfae593b7
d65a834ec3c3b50ef89a5f466eef98eb4ffddece907cb50f7261272b9482631c
ssdeep: 24576:lqP9bArz7F+ET/IbCLvipNz0hOERdNhpjdESl/T:yArvbaN9E7Nz+4
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x200cb82
timedatestamp.....: 0x47ec326b (Thu Mar 27 23:48:59 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd03c 0xd200 5.57 a0691ea9b701a6bc0b38dc9a1ac82be7
.data 0xf000 0x4784 0x400 5.83 9b856d09c84494d658edac3951989117
.rsrc 0x14000 0xfed04 0xfee00 8.00 96bbdc949105883318aca8f7c35ebb39
.reloc 0x113000 0xbac 0xc00 4.64 5b563e319cf9de10c5defac4ca646039

( 9 imports )
> msvcrt.dll: _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, _wcsnicmp, malloc, free, _wtoi, _wcsicmp, _ultow, _stricmp, memset, memcpy, _vsnwprintf
> SETUPAPI.dll: SetupCloseInfFile, SetupOpenInfFileW, SetupDiGetDriverInfoDetailW, SetupOpenLog, SetupLogErrorW, SetupCloseLog, CM_Set_DevNode_Problem_Ex, SetupDiGetDeviceInstallParamsW, SetupDiSetDeviceInstallParamsW, SetupPromptReboot, SetupDiGetActualSectionToInstallW, SetupGetLineCountW, SetupFindFirstLineW, SetupGetStringFieldW, SetupFindNextMatchLineW, SetupDiGetSelectedDriverW
> KERNEL32.dll: GetWindowsDirectoryW, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, RtlUnwind, InterlockedCompareExchange, Sleep, InterlockedExchange, LoadLibraryExW, ExpandEnvironmentStringsW, CreateProcessW, WaitForSingleObject, TerminateProcess, GetExitCodeProcess, SetLastError, FindResourceW, LoadResource, LockResource, SizeofResource, WriteFile, RemoveDirectoryW, CreateDirectoryW, FindFirstFileW, DeleteFileW, FindNextFileW, FindClose, CreateFileW, GetFileInformationByHandle, FileTimeToSystemTime, CloseHandle, FormatMessageW, GetLocalTime, OutputDebugStringW, LoadLibraryW, FreeLibrary, lstrlenA, WideCharToMultiByte, GetModuleFileNameW, LocalAlloc, LocalFree, GetLastError, GetProcAddress, GetModuleHandleW, GlobalFree, VerifyVersionInfoW, VerSetConditionMask
> ADVAPI32.dll: RegQueryValueExW, LockServiceDatabase, QueryServiceLockStatusW, ChangeServiceConfigW, UnlockServiceDatabase, QueryServiceConfigW, RegSetValueExW, RegFlushKey, RegCreateKeyExW, DeleteService, OpenSCManagerW, OpenServiceW, QueryServiceStatusEx, CloseServiceHandle, RegOpenKeyExW, RegCloseKey
> CRYPT32.dll: CertGetCertificateContextProperty
> WINTRUST.dll: WTHelperProvDataFromStateData, WTHelperGetProvSignerFromChain, WTHelperGetProvCertFromChain, WinVerifyTrust
> SHELL32.dll: CommandLineToArgvW
> USER32.dll: IsCharAlphaW, IsCharAlphaNumericW, LoadStringW
> ole32.dll: CoTaskMemFree

( 5 exports )
WdfCoInstaller, WdfPostDeviceInstall, WdfPostDeviceRemove, WdfPreDeviceInstall, WdfPreDeviceRemove
packers (Kaspersky): PE_Patch
         

Da verarscht uns einer am laufenden Band.

Ich kann dir hier nur wieder die dringende Empfehlung geben den Rechner platt zu machen!

Der Schädling wehrt sich heftig und hat mit Sicherheit Backdoor Fuktionen. Wenn der Autor bemerkt, dass wir ihm grade auf die Schliche kommen wird er Hintertüren in dein System einbauen die nur extrem schwer zu finden sind; teilweise sogar einfach unmöglich.

Das bedeutet, dass du dein System ab dem heutigen Tag an als nicht vertrauenswürdig einstufen musst. Da will man doch nicht jeden Tag vor sitzen oder?

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
c:\windows\system32\drivers\396540b3.sys
c:\windows\system32\spmsgXP_2k3.dll
c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf
c:\windows\system32\drivers\MsftWdf_Kernel_01007_C oinstaller_Critical.Wdf


Folders to delete:
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Den Avenger lasse ich nur nochmal laufen um evtl. zu verhindern, dass dir grade munter Daten gestohlen werden. Du solltest den Rechner physikalisch vom Internet trennen. Das bedeutet LAN-Stecker ziehen!

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\396540b3.sys" deleted successfully.
File "c:\windows\system32\spmsgXP_2k3.dll" deleted successfully.

Error: file "c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf" not found!
Deletion of file "c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 07.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\MsftWdf_Kernel_01007_C oinstaller_Critical.Wdf" not found!
Deletion of file "c:\windows\system32\drivers\MsftWdf_Kernel_01007_C oinstaller_Critical.Wdf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:09 2009

20:21:09: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:16 2009

20:21:16: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:36 2009

20:21:36: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:44 2009

20:21:44: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:21:46 2009

20:21:46: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:22:00 2009

20:22:00: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:22:05 2009

20:22:05: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Jan 07 20:22:11 2009

20:22:11: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished! Terminate.

Bei mir kommt kein Log nach der mbr.bat Datei.

Müsste auf dem Desktop bzw. dort liegen wo du die mbr.exe ausgeführt hast.

Da ist bei mir nur das:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Auf meinem Rechner finde Datei-Symbole die heller als andere sind, was bedeutet das?

Malwarebyets Log-File

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1043
Windows 5.1.2600 Service Pack 3

19:01:14 08.01.2009
mbam-log-1-8-2009 (19-01-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 112006
Laufzeit: 35 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\cleanup.bat (Trojan.Agent) -> Quarantined and deleted successfully.
         

Das sind versteckte Dateien.

Warum hast du immer noch nicht neuaufgesetzt?

Zitat:

Zitat von undoreal

Das sind versteckte Dateien.

Warum hast du immer noch nicht neuaufgesetzt?

Ich habe keine Windows CD :S

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2008.03.07 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal 
  
eScan Version: 10.0.60 
Sprache: German 
C:\DOKUME~1\***~1\LOKALE~1\Temp\MWAV.LOG
 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip/TDSSrfdc.sys infiziert durch den Virus "Backdoor.Win32.TDSS.bkw"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSStnyq.dll.vir infiziert durch den Virus "Rootkit.Win32.TDSS.dbg"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\frcqsw.dll.vir markiert als "not-a-virus:AdWare.Win32.SuperJuan.fsp". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
Datei C:\Qoobox\Quarantine\C\WINDOWS\system32\pytywnvs.dll.vir markiert als "not-a-virus:AdWare.Win32.SuperJuan.fsp". Maßnahme ergriffen: Keine Maßnahme ergriffen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 
~~~~~~~~~~~ 
Scannen Spyware: Deaktiviert 
** {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Programme\SUPERAntiSpyware\SASSEH.DLL 
Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
laufende Prozesse - commandline 
~~~~~~~~~~~~~~~~~~~~~~ 
System Idle Process - 
System - 
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe - 
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe - 
svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs
svchost.exe - 
svchost.exe - 
aawservice.exe - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
WgaTray.exe - "C:\WINDOWS\system32\WgaTray.exe"
explorer.exe - C:\WINDOWS\Explorer.EXE
firefox.exe - "C:\Programme\Mozilla Firefox\firefox.exe" 
ctfmon.exe - ctfmon.exe
psi.exe - C:\Programme\Secunia\PSI\psi.exe --first-launch
msnmsgr.exe - "C:\Programme\Windows Live\Messenger\msnmsgr.exe" 
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\***\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo 
wmiprvse.exe - 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Desktop\mwav.exe 
ERROR!!! Invalid Entry \SystemRoot\System32\drivers\396540b3.sys in HKLM\SYSTEM\CurrentControlSet\Services\396540b3. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\drivers\EagleNT.sys in HKLM\SYSTEM\CurrentControlSet\Services\EagleNT. Action Taken: No Action Taken. 
ERROR!!! Invalid Entry \??\C:\DOKUME~1\***~1\LOKALE~1\Temp\mbr.sys in HKLM\SYSTEM\CurrentControlSet\Services\mbr. Action Taken: No Action Taken. 
ERROR(2)!!! ScanFile Fails for C:\WINDOWS\system32\Drivers\sptd.sys... 
ERROR(3)!!! ScanFile fails for C:\aa8eec9698e480eba23771\i386\apps_sp.ch_ 
ERROR(3)!!! ScanFile fails for C:\aa8eec9698e480eba23771\i386\root\cmpnents\netfx\i386\netfx.cab 
Result: ERROR!!! File C:\Avenger\backup-07.01.2009-18.45.50.98.zip: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\Avenger\backup-07.01.2009-18.45.50.98.zip 
Result: ERROR!!! File C:\Avenger\backup-07.01.2009-20.16.31.34.zip: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\Avenger\backup-07.01.2009-20.16.31.34.zip 
Result: ERROR!!! File C:\Avenger\backup-07.01.2009-20.24.12.09.zip: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\Avenger\backup-07.01.2009-20.24.12.09.zip 
Result: ERROR!!! File C:\Avenger\backup.zip: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\Avenger\backup.zip 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{59367F7E-D7C1-4629-8AEC-71AA24A68F31}\NokiaSoftwareUpdaterSetup_1.4.85DE.exe 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{59367F7E-D7C1-4629-8AEC-71AA24A68F31}\Packages\CCD\Setup\Nokia_Connectivity_Cable_Driver.msi 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\german\kis.de.msi 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\BitTorrent\So¨hne Mannheims Xavier Naidoo - Wettsingen in Schwetzingen (MTV Unplugged).torrent 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\o2ekoav0.default\places.sqlite-journal 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_03\jre1.6.0_03.msi 
Result: ERROR!!! File C:\Dokumente und Einstellungen\Phong Le\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-08-2009 - 18-02-36.SBU 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Desktop\mwav.exe 
Result: ERROR!!! File C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\autoplay\autorun.cdd: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\autoplay\autorun.cdd 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\Support\DotNetRedist\dotnetfx.exe 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\rzr-fcr2\Support\DotNetRedist\NetFx64.exe 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\***@hotmail.com\SharingMetadata\***@hotmail.com\DFSR\Staging\CS{774F8449-18FB-D2A8-9313-449D4494083B}\01\10-{774F8449-18FB-D2A8-9313-449D4494083B}-v1 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\NTUSER.DAT 
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG 
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-0015-0407-0000-0000000FF1CE}-C\AccLR.cab 
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-001B-0407-0000-0000000FF1CE}-C\WordLR.cab 
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-0044-0407-0000-0000000FF1CE}-C\InfLR.cab 
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{90120000-006E-0407-0000-0000000FF1CE}-C\OfficeLR.cab 
ERROR(3)!!! ScanFile fails for C:\MSOCache\All Users\{91120000-0030-0000-0000-0000000FF1CE}-C\EnterrWW.cab 
ERROR(3)!!! ScanFile fails for C:\pagefile.sys 
ERROR(3)!!! ScanFile fails for C:\Programme\Gemeinsame Dateien\Microsoft Shared\VBA\VBA6\1031\VBLR6.CHM 
ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre1.6.0_03\lib\rt.jar 
ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre1.6.0_07\lib\rt.jar 
ERROR(3)!!! ScanFile fails for C:\Programme\Java\jre6\lib\rt.jar 
ERROR(3)!!! ScanFile fails for C:\Programme\Microsoft Office\Office12\1031\XMLSDK5.CHM 
ERROR(3)!!! ScanFile fails for C:\Programme\Nokia\Connectivity Cable Driver\WdfCoInstaller01007.dll 
ERROR(3)!!! ScanFile fails for C:\RECYCLER\S-1-5-21-1801674531-308236825-682003330-1003\Dc1.dll 
Result: ERROR!!! File C:\RECYCLER\S-1-5-21-1801674531-308236825-682003330-1003\Dc2.zip: Scanning Failure!!! 
ERROR(3)!!! ScanFile fails for C:\RECYCLER\S-1-5-21-1801674531-308236825-682003330-1003\Dc2.zip 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\apps_sp.chm 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Downloaded Installations\{35BF549A-60EB-43E2-8914-F33C0D7689E4}\Nokia Software Launcher.msi 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\driver.cab 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Driver Cache\i386\sp3.cab 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Help\apps_sp.chm 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\netfx.msi 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServicePackFiles\i386\apps_sp.chm 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\ServicePackFiles\i386\sp3.cab 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\edb.log 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\CatRoot2\tmp.edb 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\drivers\sptd.sys 
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\DRVSTORE\ccdcmb_BCC7B353E4C97600259A2CADE869842C38E1062D\wdfcoinstaller01007.dll 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1       localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Zahl der gescannten Objekte: 71403 
Zahl der kritischen Objekte: 4 
Zahl der desinfizierten Objekte: 0 
Zahl der umbenannten Objekte: 0 
Zahl der gelöschten Objekte: 0 
Zeit verstrichen: 01:05:50 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Speicherüberprüfung: Aktiviert 
Überprüfung der Registrierungsdatenbank: Aktiviert 
Überprüfung des Startordners: Aktiviert 
Überprüfung des Systemordners: Aktiviert 
Überprüfung der Dienste: Aktiviert 
Überprüfung der Laufwerke: Deaktiviert 
Überprüfung aller Laufwerke:Aktiviert 
Die Überprüfung der Ordner: Deaktiviert 
 
Batchstart: 20:48:53.53 
Batchende: 20:49:07.26
         

Zitat:

Ich habe keine Windows CD :S

Dann wirst du dir eine besorgen müssen.

jaa dann kann dieser thread gelöschen werden

danke nochmals für alles