| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 3 Trojaner in system32Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.09.2009, 17:33
| #1 |
 |  3 Trojaner in system32 ======List of files/folders created in the last 1 months====== 2009-09-28 17:55:14 ----D---- C:\rsit 2009-09-28 17:55:14 ----D---- C:\Programme\trend micro 2009-09-28 16:32:20 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2009-09-28 16:32:14 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2009-09-28 16:32:13 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-09-26 01:04:00 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$ 2009-09-26 01:03:56 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$ 2009-09-26 01:02:09 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$ 2009-09-26 01:02:04 ----HDC---- C:\WINDOWS\$NtUninstallKB961371-v2$ 2009-09-26 01:02:00 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$ 2009-09-26 01:01:55 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$ 2009-09-26 01:01:50 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$ 2009-09-26 01:01:45 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$ 2009-09-26 01:01:39 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$ 2009-09-26 01:01:28 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$ 2009-09-26 01:01:20 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$ 2009-09-26 01:01:15 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$ 2009-09-26 01:01:11 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$ 2009-09-26 01:01:06 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$ 2009-09-26 01:00:58 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$ 2009-09-26 01:00:33 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$ 2009-09-26 01:00:15 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$ 2009-09-26 01:00:10 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$ 2009-09-26 01:00:04 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$ 2009-09-26 01:00:02 ----A---- C:\WINDOWS\system32\wmpns.dll 2009-09-26 00:59:58 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$ 2009-09-26 00:59:36 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$ 2009-09-26 00:59:31 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$ 2009-09-26 00:59:27 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$ 2009-09-26 00:59:22 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$ 2009-09-26 00:59:10 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$ 2009-09-26 00:59:05 ----HDC---- C:\WINDOWS\$NtUninstallKB971961$ 2009-09-26 00:58:49 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$ 2009-09-25 23:34:38 ----A---- C:\WINDOWS\system32\muweb.dll 2009-09-25 23:34:38 ----A---- C:\WINDOWS\system32\mucltui.dll.mui 2009-09-25 23:34:38 ----A---- C:\WINDOWS\system32\mucltui.dll 2009-09-25 19:15:49 ----D---- C:\Programme\Windows Defender 2009-09-23 17:27:44 ----A---- C:\WINDOWS\system32\rmoc3260.dll 2009-09-23 17:27:38 ----A---- C:\WINDOWS\system32\pndx5032.dll 2009-09-23 17:27:38 ----A---- C:\WINDOWS\system32\pndx5016.dll 2009-09-23 17:27:20 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Real 2009-09-05 11:24:42 ----A---- C:\WINDOWS\CD_Start.INI ======List of files/folders modified in the last 1 months====== 2009-09-28 18:01:47 ----D---- C:\Programme\Mozilla Firefox 2009-09-28 18:01:31 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Free Download Manager 2009-09-28 18:01:09 ----D---- C:\WINDOWS\Prefetch 2009-09-28 18:01:07 ----D---- C:\WINDOWS\Debug 2009-09-28 18:01:07 ----D---- C:\WINDOWS 2009-09-28 18:01:06 ----D---- C:\WINDOWS\Temp 2009-09-28 17:55:14 ----RD---- C:\Programme 2009-09-28 17:36:43 ----AD---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP 2009-09-28 17:28:21 ----SD---- C:\WINDOWS\Tasks 2009-09-28 17:25:28 ----D---- C:\WINDOWS\system32\drivers 2009-09-28 17:25:28 ----D---- C:\WINDOWS\system32\CatRoot2 2009-09-28 17:24:02 ----N---- C:\WINDOWS\SchedLgU.Txt 2009-09-28 16:31:31 ----D---- C:\Programme\Spyware Doctor 2009-09-27 21:27:12 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Google Updater 2009-09-27 18:07:51 ----D---- C:\Programme\Diablo II 2009-09-27 18:05:32 ----D---- C:\WINDOWS\system32 2009-09-27 01:56:51 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Real 2009-09-26 10:10:04 ----D---- C:\WINDOWS\system32\wbem 2009-09-26 10:10:02 ----D---- C:\WINDOWS\AppPatch 2009-09-26 01:04:03 ----HD---- C:\WINDOWS\inf 2009-09-26 01:04:02 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-09-26 01:01:44 ----HD---- C:\WINDOWS\$hf_mig$ 2009-09-26 01:00:49 ----D---- C:\WINDOWS\system32\de-de 2009-09-26 01:00:49 ----D---- C:\Programme\Internet Explorer 2009-09-26 01:00:32 ----SHD---- C:\WINDOWS\Installer 2009-09-26 01:00:27 ----D---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help 2009-09-26 01:00:12 ----D---- C:\Programme\Outlook Express 2009-09-26 00:59:19 ----D---- C:\WINDOWS\WinSxS 2009-09-25 19:15:49 ----SD---- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft 2009-09-24 17:43:51 ----A---- C:\WINDOWS\system32\CmdLineExt03.dll 2009-09-23 17:27:22 ----A---- C:\WINDOWS\system32\pncrt.dll 2009-09-23 17:27:22 ----A---- C:\WINDOWS\system32\msvcr71.dll 2009-09-23 17:27:22 ----A---- C:\WINDOWS\system32\msvcp71.dll 2009-09-23 17:27:20 ----D---- C:\Programme\Gemeinsame Dateien\Real 2009-09-19 14:19:44 ----A---- C:\WINDOWS\NeroDigital.ini 2009-09-15 19:34:25 ----SD---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft 2009-09-12 09:25:13 ----D---- C:\WINDOWS\network diagnostic 2009-09-11 19:48:09 ----D---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2 2009-09-08 17:17:04 ----D---- C:\Medien 2009-09-05 10:50:19 ----D---- C:\Sicherheitskopie 2009-08-31 19:14:01 ----D---- C:\Programme\Power Sound Editor Free ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-28 75096] R1 IKSysFlt;System Filter Driver; C:\WINDOWS\system32\drivers\iksysflt.sys [2008-10-31 66952] R1 IKSysSec;System Security Driver; C:\WINDOWS\system32\drivers\iksyssec.sys [2008-10-31 81288] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248] R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\system32\DRIVERS\wmiacpi.sys [2008-04-14 8832] R2 ANIO;ANIO Service; \??\C:\WINDOWS\system32\ANIO.SYS [] R3 Afc;PPdus ASPI Shell; C:\WINDOWS\system32\drivers\Afc.sys [2005-02-23 11776] R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 FWLANUSB;AVM FRITZ!WLAN; C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 265088] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-10-16 4615168] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-10-04 6854464] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152] R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368] S1 d3dsgsw;d3dsgsw; \??\C:\WINDOWS\system32\drivers\d3dsgsw.sys [] S3 ALLOW-IO;ALLOW-IO; \??\H:\ALLOW-IO.sys [] S3 avmeject;AVM Eject; C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 4352] S3 RT73;D-Link USB Wireless LAN Card Driver; C:\WINDOWS\system32\DRIVERS\Dr71WU.sys [2007-07-28 451456] S3 scramby;Scramby Microphone; C:\WINDOWS\system32\drivers\scramby.sys [2007-02-13 25896] S3 scramby_out;Scramby Output; C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 23840] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-14 32128] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 ACDaemon;ArcSoft Connect Daemon; C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe [2007-10-11 51712] R2 AntiVirScheduler;Avira AntiVir Personal – Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-25 68865] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-02-18 110592] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2007-07-24 229376] R2 Diskeeper;Diskeeper; C:\Programme\Executive Software\DiskeeperLite\DKService.exe [2002-10-16 176128] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-05-09 152984] R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe [2005-11-15 73728] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-10-04 155716] R2 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2008-06-13 356920] R2 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2008-10-31 1079176] R2 WinDefend;Windows Defender; C:\Programme\Windows Defender\MsMpEng.exe [2006-11-03 13592] R3 AntiVirService;Avira AntiVir Personal – Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-25 151297] R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-03-30 504104] S2 ANIWZCSdService;ANIWZCSd Service; C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe [2007-01-19 49152] S2 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-25 183280] S3 getPlus(R) Helper;getPlus(R) Helper; C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2009-07-14 66056] S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-09-21 1028432] S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] -----------------EOF----------------- (nicht sicher ob alle per. Informationen ge*** wurden, ich hoffs einfach mal) So wie ihr ja aus den Logfiles sehen könnt habe ich Antivir, Ad-Aware und Spyware Doctor schon länger auf dem Rechner, den Defender und Malewarbytes erst nach der Meldung von Antivir. Es geht hierbei um die 3 Trojaner: TR/PCK.Zack.A106 TR/Spy.Bebloh.A14 TR/PCK.Krap.Z.49 Die sich in system32 eingenistet haben. Hier mal der Bericht von Antivir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 23. September 2009 17:54 Es wird nach 1740103 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir Personal - FREE Antivirus Seriennummer: 0000149996-ADJIE-0000001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: *** Versionsinformationen: BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:52:56 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 20:13:20 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 20:13:20 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 20:13:20 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 01:17:16 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 17:02:22 ANTIVIR2.VDF : 7.1.6.1 3857920 Bytes 16.09.2009 16:26:38 ANTIVIR3.VDF : 7.1.6.24 313344 Bytes 22.09.2009 17:09:02 Engineversion : 8.2.1.23 AEVDF.DLL : 8.1.1.2 106867 Bytes 18.09.2009 16:26:59 AESCRIPT.DLL : 8.1.2.33 479611 Bytes 22.09.2009 17:09:04 AESCN.DLL : 8.1.2.5 127346 Bytes 04.09.2009 17:42:54 AERDL.DLL : 8.1.2.4 430452 Bytes 15.07.2009 12:04:32 AEPACK.DLL : 8.2.0.0 422261 Bytes 18.09.2009 16:26:56 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 17:52:47 AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 17:11:41 AEHELP.DLL : 8.1.7.0 237940 Bytes 04.09.2009 17:42:53 AEGEN.DLL : 8.1.1.63 364916 Bytes 18.09.2009 16:26:52 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 22:09:04 AECORE.DLL : 8.1.8.1 184693 Bytes 18.09.2009 16:26:44 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 22:09:02 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 20:13:20 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 20:13:20 AVREP.DLL : 8.0.0.3 155688 Bytes 25.04.2009 14:25:54 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 20:13:20 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 20:13:20 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 20:13:20 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 20:13:17 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 20:13:17 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Mittwoch, 23. September 2009 17:54 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'fdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PhAutoRun.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WZCSLDR2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AirGCFG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FRITZWLANMini.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'E_FATIACE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DKService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '49' Prozesse mit '49' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\WINDOWS\system32\wqwnzeyvb.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! Die Registry wurde durchsucht ( '67' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MHUXQNF2\swflash[1].cab [0] Archivtyp: CAB (Microsoft) --> FP_AX_CAB_INSTALLER.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\System Volume Information\_restore{950BCB31-CA9B-460B-AA53-8994BF7A1E22}\RP138\A0103494.exe [FUND] Ist das Trojanische Pferd TR/PCK.Zack.A.106 [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{950BCB31-CA9B-460B-AA53-8994BF7A1E22}\RP140\A0103878.exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.14 [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\wqwnzeyvb.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UZINCLMX\tvp11[1].exe [FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.14 [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Mittwoch, 23. September 2009 18:30 Benötigte Zeit: 35:53 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 9562 Verzeichnisse wurden überprüft 404690 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 3 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 404683 Dateien ohne Befall 5068 Archive wurden durchsucht 9 Warnungen 3 Hinweise Dazu sollte man sagen das diese Viren da schon das zweite mal aufgetreten sind (kann den ersten Bericht auch noch posten wenn gewünscht) und ich das ungute Gefühl habe das das ganze damit noch nicht erledigt ist. Ich habe darauf hin zunächst einmal den Defender installiert und durchlaufen lassen (der hat aber leider nix gefunden) und dann von einem Bekannten (kenne aber seinen Forenacc nicht) eure Adresse bekommen. Es wäre sehr schön wenn es sichere Bekämpfungsmöglichkeiten gibt ohne das man das System neu aufsetzen muss da ich einige zum Teil recht teure Programme auf dem Rechner habe die ich so nicht wiederbekomme (nein nicht illegal sondern über meine damalige Uni über die man nen paar Programme umsonst beziehen konnte). Auf jeden Fall schonmal vielen Dank im vorraus und ich hoffe der Post ist nun nicht ganz unsinnig^^ Falls noch Informationen zum System gewünscht werden die in keiner Log stehen (mir fallen grad keine sinnvollen ein) postet es einfach, is halt alles nach bestem Wissen und Gewissen ... Geändert von Max2 (28.09.2009 um 17:48 Uhr) |
| Themen zu 3 Trojaner in system32 |
| 0 bytes, ad-aware, antivir, antivirus, avgnt.exe, avgntflt.sys, avira, bonjour, content.ie5, diagnostics, einstellungen, free download, google, helper, internet, jusched.exe, logon.exe, malewarbytes, mozilla, neu aufsetzen, nicht sicher, nt.dll, prozesse, realtek, registry, rthdcpl.exe, rundll, sched.exe, security, services.exe, software, spyware, suchlauf, svchost.exe, system, system neu, system neu aufsetzen, teamspeak, trojaner, usb, verweise, virus gefunden, warnung, winlogon.exe, wireless lan |
Baum-Darstellung