| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: malware defense und security alertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.01.2010, 15:41
| #1 |
 |  malware defense und security alert hallo, ich habe exakt daselbe Problem wie hier: http://www.trojaner-board.de/81170-m...blocker-2.html Also alle 2 Minuten öffnen sich 2 Fenster. Einmal ein windows alert security Fenster, dass sagt, dass ich ein Virus wie Net-Worm.Win32.Mytob.t habe und solle auf "enable protection" klicken. Dann öffnet sich auch immer ein Installationsfenster der Malware Defense Installer. Auch kann ich in der Taskleiste das Windows Security fensteröffnen, dass ist aber ein falsches, da meins deutsch ist und bei mir steht, dass mein Antivir aktiv ist. Außerdem kann ich mein Antivir-programm nicht öffnen! Was soll ich tun? Wollte Combofix nicht ohne Expertenmeinung laufen lassen. |
|
06.01.2010, 17:01
| #2 |
| | malware defense und security alert Ich brauche drinigend HILFFEEEEEEEE!!!
__________________ |
|
06.01.2010, 17:29
| #3 |
| | malware defense und security alert Also ich habe beim Download von hijakcthis einfach den namen geändert. Funzt nun, also hier das Log file:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:25:20, on 06.01.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\msb.exe C:\Programme\D-Link\AirPlus G\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\RssReader\RssReader.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\settdebugx.exe C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe C:\Programme\Orbitdownloader\orbitdm.exe C:\Programme\Trillian\trillian.exe C:\Programme\Orbitdownloader\orbitnet.exe C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\wscsvc32.exe C:\Programme\Uniblue\RegistryBooster\registrybooster.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\c.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing) O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL (file missing) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [RssReader] C:\Programme\RssReader\RssReader.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [LREC75DND7] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\c.exe O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\settdebugx.exe O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "launcher.exe" delay 20000 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Global Startup: MSI US54EX Wireless Client Utility.lnk = C:\Programme\MSI\US54EX\Installer\WINXP\MSI US54EX Wireless Client Utility.exe O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mu3: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll O12 - Plugin for .mus: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll O12 - Plugin for .mut: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll O12 - Plugin for .myr: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll O12 - Plugin for .xmz: C:\Programme\Internet Explorer\Plugins\NPMyrMus.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe -- End of file - 10655 bytes |
|
06.01.2010, 18:34
| #4 |
| | malware defense und security alert Wäre sehr nett, wenn mir einer sagt, was ich machen muss. Ich sitze hier schon seit 6 Stunden dran und ich will meinen PC nicht ausschalten!!!  |
|
06.01.2010, 20:12
| #5 |
  | malware defense und security alert Hi, Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!) Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Falls MAM bereits installiert ist, weiter mit Avenger... Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete:
H8SRTd.sys
Files to delete:
C:\WINDOWS\msb.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\settdebugx.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\wscsvc32.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\c.exe
C:\Programme\Malware Defense\mdefense.exe
Folders to delete:
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
C:\Programme\AskPBar
C:\Programme\Malware Defense
4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
06.01.2010, 23:23
| #6 |
| | malware defense und security alert Die avenger log habe ich nicht mehr. Scheint aber alles geklappt zu haben. Es kommen keine fenster mehr! Hier die MAM Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3504
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702
06.01.2010 23:13:15
mbam-log-2010-01-06 (23-13-15).txt
Scan-Methode: Vollständiger Scan (C:\|I:\|)
Durchsuchte Objekte: 388399
Laufzeit: 1 hour(s), 49 minute(s), 25 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas.dll (Trojan.Downloader) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\coresrv.lfgax (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\coresrv.lfgax.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b0cb585f-3271-4e42-88d9-ae5c9330d554} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\coresrv.coreservices (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\coresrv.coreservices.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wallpaper.wallpapermanager.1 (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\WINDOWS\system32\sshnas.dll (Trojan.Downloader) -> Delete on reboot.
C:\Avenger\settdebugx.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Avenger\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Avenger\Temp\d.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Avenger\Temp\sshnas.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Avenger\Temp\a.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IH52CXG4\eHf7ba66a5V0100f070006R8de80be1102Tbcfe1d00201l000730dP000301080[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\EasyBurning\compare.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\Programme\ClearProg\eBay\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc808.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc794\mdefense.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc794\mdext.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1177238915-220523388-725345543-1003\Dc794\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP472\A0156483.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTcrbuwnsxrh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTibwkmxodul.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTkmlxtpfaiw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRTdyiyejgvfl.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTslyabayvir.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.
Allersdings ging beim Löschen der Objekte mehrmals AntVir an, wegen Warnung. habe dann als auf zugriff verweigern geklickt. Sind die jetzt aber trotzdem gelöscht? Soll ich die in Quarantäne lassen oder ganz löschen? Wieso waren eini0ge Objekte in dem avenger Ordner? Wurden die von avenger nicht gelöscht? |
|
06.01.2010, 23:31
| #7 |
| | malware defense und security alert Hi, nein, Avenger legt ein Backup an (das wurde gefunden und "bereinigt"). Wenn Avira den Zugriff verweigert hat, dann konnte MAM die Daten auch nicht löschen! Nimm den Rechner vom Netzt, update vorher noch mal MAM, trenne dann, schalte Avira-Guard aus, Fullscan mit MAM & alles bereinigen lassen. Neu booten, Avira an und Fullscan mit Avira. Logs noch mal posten... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
07.01.2010, 19:30
| #8 |
| | malware defense und security alert Hier das MAM-log. hat aber nix ,ehr gefunden. Code:
ATTFilter Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3504
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702
07.01.2010 13:38:49
mbam-log-2010-01-07 (13-38-49).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 369084
Laufzeit: 1 hour(s), 25 minute(s), 34 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Hier das Avira-Log: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 7. Januar 2010 14:31
Es wird nach 1503943 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: CHRIS
Versionsinformationen:
BUILD.DAT : 8.2.0.354 17048 Bytes 23.10.2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 16:21:42
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 17:23:06
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 17:23:06
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 17:23:06
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:59:02
ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19.11.2009 14:59:37
ANTIVIR2.VDF : 7.10.2.140 1769376 Bytes 07.01.2010 13:30:40
ANTIVIR3.VDF : 7.10.2.141 36864 Bytes 07.01.2010 13:30:40
Engineversion : 8.2.1.130
AEVDF.DLL : 8.1.1.2 106867 Bytes 16.09.2009 15:36:40
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 04.01.2010 19:12:15
AESCN.DLL : 8.1.3.0 127348 Bytes 10.12.2009 15:39:52
AESBX.DLL : 8.1.1.1 246132 Bytes 24.11.2009 14:59:58
AERDL.DLL : 8.1.3.4 479605 Bytes 01.12.2009 14:46:33
AEPACK.DLL : 8.2.0.4 422263 Bytes 04.01.2010 19:12:09
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 14:19:53
AEHEUR.DLL : 8.1.0.192 2195833 Bytes 04.01.2010 19:12:05
AEHELP.DLL : 8.1.9.0 237943 Bytes 16.12.2009 19:09:31
AEGEN.DLL : 8.1.1.83 369014 Bytes 04.01.2010 19:11:50
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.10.2009 06:58:52
AECORE.DLL : 8.1.9.1 180598 Bytes 10.12.2009 15:39:51
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 11:48:28
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 17:23:06
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 17:23:06
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 17:04:18
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 17:23:06
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 18:55:40
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 17:23:06
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 18:55:40
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 17:23:06
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 18:55:40
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 17:23:00
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 17:23:00
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, I:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Donnerstag, 7. Januar 2010 14:31
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '81052' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitnet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSI US54EX Wireless Client Utility.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MESSENGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RssReader.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZCSLDR2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AirGCFG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '43' Prozesse mit '43' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '66' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Avenger\Temp\b.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae376.qua' verschoben!
C:\Avenger\Temp\e.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae386.qua' verschoben!
C:\Avenger\Temp\f.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrj
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae38c.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\Anti-Virus\Aquarius\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba6e402.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\Anti-Virus\Aquarius\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c177acb.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\Anti-Virus\Aquarius\jpeg.xmd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae40c.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[FUND] Enthält Erkennungsmuster des Trivial-28 (A)-Virus
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba6e410.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba6e411.qua' verschoben!
C:\Avenger\Temp\OnlineScanner\updates\aquawin32\jpeg.xmd
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae42b.qua' verschoben!
C:\Avenger\Temp\plugtmp-2\plugin-
[0] Archivtyp: PDF Stream
--> Object
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.PDF.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbae42d.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\c.exe.q_Quarantine_5B5EA202_q
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrj
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4baae4b3.qua' verschoben!
C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\Sun\Java\jdk1.6.0_11\sd160110.cab
[0] Archivtyp: CAB (Microsoft)
--> applets.zip
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Christopher\Eigene Dateien\Programmiersoftware\Basic\fgfg.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bac0544.qua' verschoben!
C:\Programme\brutus-aet2\BrutusA2.exe
[FUND] Enthält Erkennungsmuster des SPR/Brutus-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbb0939.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156732.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8b.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156733.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89304.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156734.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8c.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156735.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89305.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156736.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8e.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156737.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c8f.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156738.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c90.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156739.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89319.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156740.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c92.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156741.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd8931b.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156744.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c91.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156759.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd8931a.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0156760.dll
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrf
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771c93.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157377.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d88.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157685.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d96.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157686.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrk
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d97.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157687.exe
[FUND] Ist das Trojanische Pferd TR/FraudPack.ajrj
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b771d98.qua' verschoben!
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP473\A0157688.exe
[FUND] Enthält Erkennungsmuster des SPR/Brutus-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd89211.qua' verschoben!
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.
Ende des Suchlaufs: Donnerstag, 7. Januar 2010 19:10
Benötigte Zeit: 4:39:20 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
22521 Verzeichnisse wurden überprüft
1324717 Dateien wurden geprüft
31 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
31 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
1324685 Dateien ohne Befall
7524 Archive wurden durchsucht
6 Warnungen
31 Hinweise
81052 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Ist das normal, dass man 6 mal die svchost.exe in den System-Prozessen hat? |
|
07.01.2010, 20:00
| #9 |
| | malware defense und security alert Hi, ja, ist möglich, die wird für alles mögliche benutz, auch Malware benutzt sie um getarnt ins Internet zu können. Du hast schon selbst versucht mit Avenger was zu bereinigen, oder? Gefällt mir noch nicht, daher: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
08.01.2010, 12:38
| #10 |
| | malware defense und security alert Also irgendwas stimmt DA NICHT!!! Ich habe combofix gestartet. Er ist runtergefahren. Dann ist er aber 50 mal hoch- und runtergefahren. dann habe ich ihn manuell ausgeschlatet. Er konnte aber dann auch nicht mehr hochfahren. Ich konnte nicht mal in den abgesicherten Modus, ich konnte nur die als letzt belannte Konfiguration auswählen. Das System sieht aber so aus wie Win 95 oder so und ich kann kein Gerätemanager oder Netzwerkumgebung wählen. Was ist da passiert zur Hölle??!! Was muss ich machen!! |
|
08.01.2010, 13:54
| #11 |
| | malware defense und security alert Hi, da hat sich was tief in Dein System eingegraben und beim Versuch es zu entfernen haben sich die zwei (CF und Malware) wohl ineinander "verbissen". Boote von der XP-CD und führe eine Reparaturinstallation durch. Programme und Daten sollten dabei erhalten bleiben... Alternativ kannst Du wie folgt vorgehen: Systemdateien prüfen: Öffne eine Commandshell (Start->Ausführen cmd) und schreib rein: sfc /scannow Geht das ? Was sind die Fehlermeldungen die Du beim Aufruf des Gerätemanagers etc. bekommst? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
08.01.2010, 20:09
| #12 |
| | malware defense und security alert Bim Gerätemanager steht: Auf das Geräääät, Pfad oder Datei konnte nicht zugegriffen werden. Sie verfügen evt. nicht über die Berechtigungen. So ungefähr. Ich bin gerade auf einen andern PC, weil ja bei mir das INternet nicht geht. |
|
08.01.2010, 22:58
| #13 |
| | malware defense und security alert Hi, das kann alles mögliche sein. Probiere erst die Systemdateiüberprüfung (den sfc-Scann) und wenn das nichts bringt die Reparaturinstallation. Hattest Du wie beschrieben die Antivirenlösung beim Scannen ausgeschaltet? Wir werden wahrscheinlich von aussen mal auf den PC schauen müssen... Wenn es geht, führe bitte noch mal ein OTL-Log aus.... OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop * Doppelklick auf die OTL.exe * Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen * Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output * Unter Extra Registry, wähle bitte Use SafeList * Klicke nun auf Run Scan links oben * Wenn der Scan beendet wurde werden 2 Logfiles erstellt * Poste die Logfiles hier in den Thread. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
09.01.2010, 09:50
| #14 |
| | malware defense und security alert Als der sfc-scan war fertig, hat aber keine Meldung oder so angezeigt. ISt das gut so? Was kann ich dann machen? Ich habe auch versucht emeine <<<daten zu sichern, aber ich konnt nix auf mein USB Stick ziehen? Ich habe auch die XP-Cd eingelegt. Aber dort komme ich nur zu einer Widerherstellungskonsole?! Und habe keine Ahnung, was ich da eingeben muss? Antivir hatte ich aus. Ich muss irgendwie meine Daten retten, dann installiere ich XP einfach komplett neu, oder? Ich sitze halt gerad ean einem anderen PC, da ist das nicht so einach mit OTL. mal schauen. |
|
09.01.2010, 10:56
| #15 |
| | malware defense und security alert Hi, folge den Anweisungen hier: http://www.supportnet.de/faqsthread/878 Achte darauf, dass der Rechner dabei nicht am Internet hängt, alle Systemupdates etc. müssen nachinstalliert werden... Und noch was. Manch einer verkauft Rechner mit einer Recoveryversion, die keine Reparaturinstallation zulässt bzw. im schlimmsten Fall gleich das ganze System "bügelt"... Für den Fall: Universal Boot-CD erstellen: Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!). Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann. Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Auch zur Datensicherung sind Anwendungen an Board (siehe auch: http://www.ubcd4win.com/contents.htm)! Tut mir leid, dass CF Dein System abgeschossen hat, das passiert äußerst selten (mir das erstemal), kann aber vorkommen... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (09.01.2010 um 11:05 Uhr) |
|
| Themen zu malware defense und security alert |
| aktiv, alert, combofix, deutsch, experte, expertenmeinung, falsches, fensteröffnen, klicke, laufe, laufen, malware, meinung, minute, minuten, net-worm.win32.mytob.t, nicht öffnen, problem, protection, security, security alert, taskleiste, virus, windows, windows alert, windows security, öffnen, öffnet |
Linear-Darstellung
