Hallo,
bei einem Virenscan wurde
Dropper.Gen gefunden, bei darauffolgenden Scans noch mehr
Malware.
Ich bin mir nicht sicher, ob ich mit dem Vorgehen nach Eurer Anleitung schon mein System bereinigt habe...
Ausgangspunkt >
Bei einem routinemässigen Viren-Scan mit
Avira Antivir wurde am 28.09.2010 Malware gefunden:
Zitat:
Die Datei 'C:\Programme\WebEx\WebEx\824\atpdppta.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde erfolgreich überschrieben!
Die Datei wurde gelöscht.
|
und
Zitat:
Die Datei 'C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1515\A0181867.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde erfolgreich überschrieben!
Die Datei wurde gelöscht.
|
Bei einem anschliessenden Scan mit
eScan wurde unter anderem Folgendes gefunden:
Zitat:
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir Workstation\INFECTED\45389a1f.qua ist durch den Virus "Trojan.HTML.Clicker.AA (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Xenocode\Sandbox\Firefox\2.0.0.17\2009.03.19T00.53\Virtual\STUBEXE\@PROGRAMFILES@\Mozilla Firefox\firefox.exe ist durch den Virus "Backdoor.Generic.219007 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\ccgurt9q.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174242.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174243.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174244.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174245.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174246.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174247.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174248.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174249.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174250.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174251.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174252.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174253.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174254.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174255.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174256.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174257.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174258.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174260.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174261.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174262.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174263.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174264.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{9002D673-3B16-4EC3-9883-12A153F171D8}\RP1465\A0174265.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP46C.tmp\mscorlib.dll ist durch den Virus "Exe.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
|
Die ersten 3 Dateien habe ich von Hand gelöscht, danach dann
"Datenträger-Bereinigung" > "Temporäre Dateien" beseitigt und die Optionen "
Weitere" > "Systemwiederherstellung bereinigt" durchgeführt.
Danach habe ich das Programm
Load.exe wie von Trojaner-Board empfohlen ausgeführt.
Anbei alle Logfiles.
Welche weiteren Schritte kann / muss ich durchführen?
Herzliche Grüße
Butterbreze
Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 16:45 on 30/09/2010 (***)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
|
Zitat:
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-30 18:17:10
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\***~1\LOKALE~1\Temp\uftdqpoc.sys
---- System - GMER 1.0.15 ----
SSDT F7BA0AE4 ZwCreateThread
SSDT F7BA0AD0 ZwOpenProcess
SSDT F7BA0AD5 ZwOpenThread
SSDT F7BA0ADF ZwTerminateProcess
SSDT F7BA0ADA ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF6122360, 0x24BB1D, 0xE8000020]
init C:\WINDOWS\System32\drivers\AsfAlrt.sys entry point in "init" section [0xF77B92A0]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
Device \FileSystem\Fastfat \Fat 9BAE9D20
Device \FileSystem\Fastfat \Fat 9BB01631
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
---- EOF - GMER 1.0.15 ----
|
30.09.2010, 20:16
Baum-Darstellung