Hallo,

ich bin dabei einen infizierten Rechner zu säubern. Dazu wollte ich die ganzen log-files etc. (Malwarebytes AM, RSIT) über einen USB-Stick rüber holen. Den USB Stick habe ich beim sauberen Rechenr vor dem Öffnen mit Antivir gescreent, der hat dann direkt dieses Dingen entdeckt und in Quarantäne gesetzt. Ist der Stick jetzt clean, kann ich die Texte runterladen, damit mir dann bei meinem eigentlichen Problem geholfen werden kann (den verseuchten Rechner zu reinigen). Andere Ideen, wie ich die files runter bekomme? Ins Internet möchte ich mit dem Rechner nicht gehen, da dann alles wieder von vorne beginnt... das weiß ich aus Erfahrung.

Ach ja, beim Screen des Rechners selber mit Avira gab es keine Funde... Nur zwei Warnungen, die ich aber eh schon quasi imemr habe. Sprich der "Saubere" Rechner ist so wie es aussieht sauber geblieben.

Viele Dank für Eure Hilfe, hier noch der Logfile von dem Avira Antivir Scan des USB-Sticks:

Hallo und Herzlich Willkommen!

- was hat dein Rechner ein Problem?
- der Stick war original? oder vorher etwas schon drauf war?
auf jeden Fall nur auf einem (sauberen) Stick die Programme installieren, dann auf Deinen Rechner übertragen

gruß
Cf

Vielen Dank schon mal für die schnelle Antwort. Der stick war erst sauber. ich hatte ihn vorher auch schon mit avira antivir gescanned. Dann habe ich die logfiles rüber auf den stick gezogen, und dann ist es passiert. Direkt dieses Exe dingen mit dabei.

Was kann ich tun um den Stick sicher bei mir zu öffnen um an die Logfiles zu kommen? Damit ich dann mein eigentliches Problem heir schildern kann?

Logfile von vorher:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 2. November 2009 20:28

Es wird nach 1851309 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Theresa
Computername : KÄSEHÄPPCHEN

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 13:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 09:21:42
ANTIVIR2.VDF : 7.1.6.160 5413376 Bytes 28.10.2009 13:57:41
ANTIVIR3.VDF : 7.1.6.173 71680 Bytes 30.10.2009 13:57:43
Engineversion : 8.2.1.53
AEVDF.DLL : 8.1.1.2 106867 Bytes 01.11.2009 13:58:39
AESCRIPT.DLL : 8.1.2.43 528764 Bytes 01.11.2009 13:58:38
AESCN.DLL : 8.1.2.5 127346 Bytes 01.11.2009 13:58:34
AERDL.DLL : 8.1.3.2 479604 Bytes 01.11.2009 13:58:31
AEPACK.DLL : 8.2.0.2 422263 Bytes 01.11.2009 13:58:25
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:39
AEHEUR.DLL : 8.1.0.173 2064760 Bytes 01.11.2009 13:58:18
AEHELP.DLL : 8.1.7.0 237940 Bytes 01.11.2009 13:57:55
AEGEN.DLL : 8.1.1.70 364917 Bytes 01.11.2009 13:57:51
AEEMU.DLL : 8.1.1.0 393587 Bytes 01.11.2009 13:57:47
AECORE.DLL : 8.1.8.1 184693 Bytes 01.11.2009 13:57:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 11:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Theresa\LOKALE~1\Temp\79b14543.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: E:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 2. November 2009 20:28

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'E:\' <DATABASE>


Ende des Suchlaufs: Montag, 2. November 2009 20:28
Benötigte Zeit: 00:13 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6 Verzeichnisse wurden überprüft
597 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
597 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
0 Hinweise

wenn der Stick definitiv sauber, kannst ganz ruhig anschließen und die Programme drüberspielen (kannst zuerst mal dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.)
vermutlich dein System infiziert bzw als Auslöser in Frage kommen kann

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

super, danke. ich war gestern leider den ganzen tag verhindert. kann mich heute abend an die arbeit machen. bin gespannt, was ihr dann zu den ergebnissen sagt! bis dahin also!

Hallo,

ich denke, dass der Rechner sowieso viel zu krass verseucht ist. Sobald man ins Internet geht, breitet sihc in allen möglichen Dateien wieder irgendetwas aus... im system32 ordner finden sich dann immer tmp Dateien die Nr. von 1-9 und Buchstaben von A-Z haben z.B. 1.tmp oder A.tmp.

Gleichzeitig findet sich im System32 dllcache Ordner eine Datei, die zu der verdächtigen ZEit verändert wurde und eigentlich nur im Driver Ordner etwas zu suchen hat (laut meiner recherche). Eine weitere Datei (beide waren .sys) kam dann noch ca. 2h später hinzu, als ich wohl wieder im Netz unterwegs war um die Antivir Dinger runter zu laden. Auf dem Verseuchten Stick war dann neben dieser wplayer.exe noch die autostart.inf sache... und noch irgendwas...

Wir werden ihn komplett platt machen und - da wir studenten sind bekommen wirs sogar sehr günstig - windows 7 + linux drauf machen... damit sollten alle Probleme gelöst sein. Wir bekommen auch Unterstützung vom REchenzentrum, die werden uns da helfen.

Ich möchte euch aber dennoch sehr danken, dass Ihr geholfen habt!! Falls Interesse in den Logfiles des verseuchten REchners besteht, kann ich sie gerne hochladen... vielleicht ist ja was spannendes neues dabei ;-)

Also falls ihr sehen wollt was da los war, sagt bescheid

Viele liebe Grüße

Zitat:

Zitat von thethe

Falls Interesse in den Logfiles des verseuchten REchners besteht, kann ich sie gerne hochladen... vielleicht ist ja was spannendes neues dabei ;-)

vlt wäre ja interessant, aber ein paar Tipps:
- Vorsicht mit Datensicherung! - (USB Stick, Ext. Platte usw): ► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )

gruß
Cf