Hallo zusammen,
ich bin vor Trojanern und anderen Schädlingen bis vor kurzem immer verschohnt worden. Anfang des Monats jedoch schickte mir das Telekom-Abuse-Team eine Nachricht mit dem Hinweis, dass sich Schadsoftware auf meinem Rechner befinde. Es wurden von meinem Anschluss anscheinend Spam an andere Mailserver geschickt. Deshalb wurde mir auch vorübergehend der Port 25 gesperrt. Da ich wie gesagt auf diesem Gebiet keinerlei Erfahrungen habe, wende ich mir vertrauensvoll an euch
Habe sofort einen Scan mit Antivir (Free) durchlaufen lassen mit folgendem Ergebnis: Es wurde Schädling "TR Rootkit.gen" gefunden.
Der Log:
Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 12. Mai 2010 10:14
Es wird nach 2110512 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CHRIS-VAIO
Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 20:14:20
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:14:20
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:14:20
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:11:23
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 21:18:28
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 01:46:15
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 15:32:14
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 15:32:14
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 15:32:14
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 15:32:14
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 15:32:14
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 15:32:14
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 15:32:14
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 15:32:14
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 15:32:14
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 20:03:00
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 06:05:23
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 08:01:57
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 13:03:53
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 14:41:19
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 15:43:56
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 19:42:40
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 19:42:29
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 06:11:58
VBASE023.VDF : 7.10.7.76 2048 Bytes 10.05.2010 06:11:59
VBASE024.VDF : 7.10.7.77 2048 Bytes 10.05.2010 06:11:59
VBASE025.VDF : 7.10.7.78 2048 Bytes 10.05.2010 06:11:59
VBASE026.VDF : 7.10.7.79 2048 Bytes 10.05.2010 06:11:59
VBASE027.VDF : 7.10.7.80 2048 Bytes 10.05.2010 06:11:59
VBASE028.VDF : 7.10.7.81 2048 Bytes 10.05.2010 06:11:59
VBASE029.VDF : 7.10.7.82 2048 Bytes 10.05.2010 06:11:59
VBASE030.VDF : 7.10.7.83 2048 Bytes 10.05.2010 06:11:59
VBASE031.VDF : 7.10.7.91 71168 Bytes 11.05.2010 06:12:02
Engineversion : 8.2.1.236
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 08:01:58
AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 05.05.2010 19:42:43
AESCN.DLL : 8.1.5.0 127347 Bytes 26.02.2010 16:48:39
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 08:01:58
AERDL.DLL : 8.1.4.6 541043 Bytes 17.04.2010 15:32:16
AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 22:14:15
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18.03.2010 19:34:22
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05.05.2010 19:42:43
AEHELP.DLL : 8.1.11.3 242039 Bytes 12.04.2010 09:40:57
AEGEN.DLL : 8.1.3.7 373106 Bytes 17.04.2010 15:32:15
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 08:01:57
AECORE.DLL : 8.1.15.1 192886 Bytes 05.05.2010 19:42:41
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 08:01:57
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 23:12:13
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 20:38:14
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 20:14:19
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Mittwoch, 12. Mai 2010 10:14
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fhaxvox\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fhaxvox\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fhaxvox\errorcontrol
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fhaxvox\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fhaxvox\qm3p8s4dv0
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fhaxvox\b5rgd0d1
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fhaxvox\iuy5ug
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '97556' Objekte überprüft, '7' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DslMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VAIOUpdt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DslMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LANUtil.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMSwitch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MarketingTools.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCSW.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VzCdbSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VcmIAlzMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCFw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPMService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'uCamMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NSUService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlanext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkAudioService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '81' Prozesse mit '81' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '51' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Windows\System32\drivers\fhaxvox.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Desinfektion:
C:\Windows\System32\drivers\fhaxvox.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden.Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht.
Ende des Suchlaufs: Mittwoch, 12. Mai 2010 11:40
Benötigte Zeit: 1:16:22 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
24707 Verzeichnisse wurden überprüft
260685 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
260681 Dateien ohne Befall
2033 Archive wurden durchsucht
3 Warnungen
3 Hinweise
97556 Objekte wurden beim Rootkitscan durchsucht
7 Versteckte Objekte wurden gefunden
|
Ein weiterer Scan mit Malwarebytes
Anti-Malware ergab folgendes:
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4058
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
12.05.2010 11:53:59
mbam-log-2010-05-12 (11-53-59).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 121043
Laufzeit: 6 Minute(n), 59 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Windows\system32\Drivers\fhaxvox.sys (Rootkit.Agent) -> No action taken.
|
Kann man aus diesen Files etwas erkennen? Wäre wirklich Klasse, wenn ihr mir helfen könntet!
Danke schonmal im voraus!
LG Christian
12.05.2010, 10:56
Baum-Darstellung