|
Plagegeister aller Art und deren Bekämpfung: TR/Spy. 1036800.10 in explorer.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.11.2010, 18:36 | #16 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe warum auch immer... es wird doch ne fehlermeldung gegeben haben.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
10.11.2010, 22:29 | #17 |
| TR/Spy. 1036800.10 in explorer.exe Also ICQ ist mitllerweile deinstaliert,
__________________bei 5 Spots folgende Meldung : " kat-uninst.exe hat ein Problem festgestellt und muß beendet werden " - keine deinstalation bei Master of the Skies kommt folgendes Fenster " - Confirm File Deletion - Do you want to completely remove the selected application and all of its components?" Dort klicke ich OK an ein Fenster springt kurz auf in dem er kurz rechnet, danach keine Meldung und auch keine Deinstalation |
11.11.2010, 11:27 | #18 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe hmm wie siehts im abgesicherten modus aus? läuft sie da?
__________________
__________________ |
11.11.2010, 12:34 | #19 |
| TR/Spy. 1036800.10 in explorer.exe Auch im abgesicherten Modus, gleiche Meldung wie vorher - 5 Spots da meckert kat-uninst.exe und bei Master of the Skies gehen wie vorher nacheinander drei Fenster auf (letztes ist das Setup da rechnet er einen Moment) und nichts passiert. Habe beide Programme schon lange auf dem Rechner und auch schon früher beim Aufräumen mal versucht zu deinstallieren |
11.11.2010, 13:00 | #20 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
11.11.2010, 13:20 | #21 |
| TR/Spy. 1036800.10 in explorer.exe Ok sind jetzt auch weg - super Programm das |
11.11.2010, 13:22 | #22 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe mit dem CCleaner dateien + registry bereinigen: http://www.trojaner-board.de/51464-a...-ccleaner.html berichten obs noch probleme gibt.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
11.11.2010, 14:35 | #23 |
| TR/Spy. 1036800.10 in explorer.exe Also bisher läuft er ohne Probleme, die benutzten Proigramme funktionieren einwandfrei, auch das Internet. AVG findet derzeit auch nichts, hier das Log: HTML-Code: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 11. November 2010 13:53 Es wird nach 3038171 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : User Computername : WORKSTATION Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 08.11.2010 16:39:22 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 12:26:09 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:04:21 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:37:09 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 06:43:30 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:31:50 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:36:39 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 12:26:09 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:51:42 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 22:00:36 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:52:07 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 16:39:21 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 16:39:21 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 16:39:21 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 16:39:21 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 16:39:21 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:39:21 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 12:51:51 VBASE016.VDF : 7.10.13.181 2048 Bytes 09.11.2010 12:51:51 VBASE017.VDF : 7.10.13.182 2048 Bytes 09.11.2010 12:51:51 VBASE018.VDF : 7.10.13.183 2048 Bytes 09.11.2010 12:51:51 VBASE019.VDF : 7.10.13.184 2048 Bytes 09.11.2010 12:51:51 VBASE020.VDF : 7.10.13.185 2048 Bytes 09.11.2010 12:51:51 VBASE021.VDF : 7.10.13.186 2048 Bytes 09.11.2010 12:51:51 VBASE022.VDF : 7.10.13.187 2048 Bytes 09.11.2010 12:51:52 VBASE023.VDF : 7.10.13.188 2048 Bytes 09.11.2010 12:51:52 VBASE024.VDF : 7.10.13.189 2048 Bytes 09.11.2010 12:51:52 VBASE025.VDF : 7.10.13.190 2048 Bytes 09.11.2010 12:51:52 VBASE026.VDF : 7.10.13.191 2048 Bytes 09.11.2010 12:51:52 VBASE027.VDF : 7.10.13.192 2048 Bytes 09.11.2010 12:51:52 VBASE028.VDF : 7.10.13.193 2048 Bytes 09.11.2010 12:51:52 VBASE029.VDF : 7.10.13.194 2048 Bytes 09.11.2010 12:51:52 VBASE030.VDF : 7.10.13.195 2048 Bytes 09.11.2010 12:51:52 VBASE031.VDF : 7.10.13.208 114176 Bytes 11.11.2010 12:51:52 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 28.09.2010 11:52:13 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 08.11.2010 16:39:21 AESCN.DLL : 8.1.6.1 127347 Bytes 31.05.2010 14:40:47 AESBX.DLL : 8.1.3.1 254324 Bytes 28.04.2010 14:35:41 AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 11:52:12 AEPACK.DLL : 8.2.3.11 471416 Bytes 19.10.2010 11:39:40 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 28.07.2010 22:00:40 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 08.11.2010 16:39:21 AEHELP.DLL : 8.1.14.0 246134 Bytes 19.10.2010 11:39:38 AEGEN.DLL : 8.1.3.24 401781 Bytes 08.11.2010 16:39:21 AEEMU.DLL : 8.1.2.0 393588 Bytes 28.04.2010 14:35:40 AECORE.DLL : 8.1.17.0 196982 Bytes 28.09.2010 11:52:10 AEBB.DLL : 8.1.1.0 53618 Bytes 28.04.2010 14:35:40 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 16:39:22 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 08.11.2010 16:39:22 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 12:26:09 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 16:39:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Schnelle Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\quicksysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Donnerstag, 11. November 2010 13:53 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'googleearth.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AliceCnn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iWinTrusted.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaUpdateMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaDeviceMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerScheduleService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerRemote.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerQuick.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerHIDReceiver.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1801' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Dokumente und Einstellungen\User' Beginne mit der Suche in 'C:\WINDOWS' Beginne mit der Suche in 'C:\Dokumente und Einstellungen\All Users' Beginne mit der Suche in 'C:\Programme' Ende des Suchlaufs: Donnerstag, 11. November 2010 14:32 Benötigte Zeit: 39:01 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 9673 Verzeichnisse wurden überprüft 431177 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 431177 Dateien ohne Befall 3318 Archive wurden durchsucht 0 Warnungen 0 Hinweise |
11.11.2010, 14:41 | #24 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe jetzt mach die konfiguration und scanne über lokaler schutz, lokale laufwerke.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
11.11.2010, 16:07 | #25 |
| TR/Spy. 1036800.10 in explorer.exe Bis auf Moorhuhn nix gefunden HTML-Code: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 11. November 2010 14:55 Es wird nach 3038171 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : User Computername : WORKSTATION Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 08.11.2010 16:39:22 AVSCAN.DLL : 10.0.3.0 56168 Bytes 20.04.2010 12:26:09 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:04:21 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:37:09 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 06:43:30 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 13:31:50 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:36:39 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 12:26:09 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:51:42 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 22:00:36 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:52:07 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 16:39:21 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 16:39:21 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 16:39:21 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 16:39:21 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 16:39:21 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:39:21 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 12:51:51 VBASE016.VDF : 7.10.13.181 2048 Bytes 09.11.2010 12:51:51 VBASE017.VDF : 7.10.13.182 2048 Bytes 09.11.2010 12:51:51 VBASE018.VDF : 7.10.13.183 2048 Bytes 09.11.2010 12:51:51 VBASE019.VDF : 7.10.13.184 2048 Bytes 09.11.2010 12:51:51 VBASE020.VDF : 7.10.13.185 2048 Bytes 09.11.2010 12:51:51 VBASE021.VDF : 7.10.13.186 2048 Bytes 09.11.2010 12:51:51 VBASE022.VDF : 7.10.13.187 2048 Bytes 09.11.2010 12:51:52 VBASE023.VDF : 7.10.13.188 2048 Bytes 09.11.2010 12:51:52 VBASE024.VDF : 7.10.13.189 2048 Bytes 09.11.2010 12:51:52 VBASE025.VDF : 7.10.13.190 2048 Bytes 09.11.2010 12:51:52 VBASE026.VDF : 7.10.13.191 2048 Bytes 09.11.2010 12:51:52 VBASE027.VDF : 7.10.13.192 2048 Bytes 09.11.2010 12:51:52 VBASE028.VDF : 7.10.13.193 2048 Bytes 09.11.2010 12:51:52 VBASE029.VDF : 7.10.13.194 2048 Bytes 09.11.2010 12:51:52 VBASE030.VDF : 7.10.13.195 2048 Bytes 09.11.2010 12:51:52 VBASE031.VDF : 7.10.13.208 114176 Bytes 11.11.2010 12:51:52 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 28.09.2010 11:52:13 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 08.11.2010 16:39:21 AESCN.DLL : 8.1.6.1 127347 Bytes 31.05.2010 14:40:47 AESBX.DLL : 8.1.3.1 254324 Bytes 28.04.2010 14:35:41 AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 11:52:12 AEPACK.DLL : 8.2.3.11 471416 Bytes 19.10.2010 11:39:40 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 28.07.2010 22:00:40 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 08.11.2010 16:39:21 AEHELP.DLL : 8.1.14.0 246134 Bytes 19.10.2010 11:39:38 AEGEN.DLL : 8.1.3.24 401781 Bytes 08.11.2010 16:39:21 AEEMU.DLL : 8.1.2.0 393588 Bytes 28.04.2010 14:35:40 AECORE.DLL : 8.1.17.0 196982 Bytes 28.09.2010 11:52:10 AEBB.DLL : 8.1.1.0 53618 Bytes 28.04.2010 14:35:40 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 08.11.2010 16:39:22 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 08.11.2010 16:39:22 AVARKT.DLL : 10.0.0.14 227176 Bytes 20.04.2010 12:26:09 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 08.11.2010 16:39:21 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, F:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Donnerstag, 11. November 2010 14:55 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'googleearth.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AliceCnn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iWinTrusted.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaUpdateMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EmmaDeviceMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerScheduleService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerRemote.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerQuick.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVerHIDReceiver.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1801' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Datec_1> Beginne mit der Suche in 'D:\' <Datec_2> D:\Spiele\phenomedia\Moorhuhn Total 4\MoorhuhnJagd\Moorhuhn.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Desinfektion: D:\Spiele\phenomedia\Moorhuhn Total 4\MoorhuhnJagd\Moorhuhn.exe [FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e6ba22f.qua' verschoben! Ende des Suchlaufs: Donnerstag, 11. November 2010 16:05 Benötigte Zeit: 1:09:35 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 15665 Verzeichnisse wurden überprüft 532379 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 532378 Dateien ohne Befall 4840 Archive wurden durchsucht 0 Warnungen 1 Hinweise |
11.11.2010, 16:10 | #26 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe bitte belasse die heuristik auf der höchsten stufe, das ist sicherer. ich würde dir, falls erwünscht, tipps zum absichern des pcs geben.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
11.11.2010, 16:38 | #27 |
| TR/Spy. 1036800.10 in explorer.exe Ok hat mit der Heuristik etwas gedauert, aber jetzt ist sie auf hoch eingestellt. Würde gerne von dir Tipps bekommen und mich bei der Gelegenheit auch nochmal bedanken, das ist toll von dir (euch) was du (ihr) hier macht. Eine Frage hab ich noch, als ich mich hier angemeldet habe und eure Liste für Neueinsteiger abgearbeitet habe, habe ich wie gewünscht den defogger benutzt und wurde darauf hingewiesen ohne Anordnung re-enable nicht zu benutzen, was ist damit? Ich weiß ich habe leider nicht soviel Ahnung von der Materie (hätte ich die, würde ich hier ja wohl eher helfen, als das mir geholfen werden muß) |
11.11.2010, 17:04 | #28 |
/// Malware-holic | TR/Spy. 1036800.10 in explorer.exe - klicke bei defogger auf enable. - reinige mit otcleanit: http://oldtimer.geekstogo.com/OTM.exe Klicke cleanup! dein pc wird evtl. neu starten programm löscht sich selbst, + die verwendeten tools - reinige mit dem ccleaner. - rechtsklick arbeitsplatz eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren. übernehmen, ok. warte 5 minuten, dann wieder einschalten. besuche die windows update seite, hohle dir die neuesten updates und instaliere auch den internet explorer 8. - wenn du möchtest, kannst du den autostart noch etwas entlasten. start ausführen msconfig. enter systemstart. über all den haken raus außer bei: avgnt klicke auf ok, pc wird neu starten, nachfrage bestätigen. meldung anhaken, nach neustart, damit sie nicht mehr angezeigt wird. ok klicken, falls dir ne einstellung nicht gefällt, kannst du den autostart ganz einfach wieder aktivieren, in dem du das entsprechende anhakst. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. ich würde den firefox gegen den opera eintauschen, er ist wesendlich sicherer und auch schneller. wenn er dir nicht zusagt, gib bescheid und ich passe die anleitung für den ff an. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen lesezeichen importieren: Lesezeichen ? OperaWiki wenn dir der opera gefällt, deinstaliere den ff. dienste konfigurieren: Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de download link ist hier http://ntsvcfg.de/svc2kxp.zip lies den abschnitt über die svc2kxp.md du solltest die methode 3 wählen, diese ist die sicherste. je weniger dienste der pc nach außen anbietet, desto besser. automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach. start ausführen services.msc suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. endere jetzt alle passwörter! surfe nur noch in der sandbox, mit klick auf "sandboxed web browser" allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
12.11.2010, 10:05 | #29 |
| TR/Spy. 1036800.10 in explorer.exe Hallo Markus, zunächst einmal hab ich deine Tipps fast alle übernommen, aber ich hab da noch ne Frage - meine Backups habe ich bisher mit Paragon Backup gemacht, soll ich das Programm jetzt gegen Acronis tauschen? Desweiteren ist mir im längeren Betrieb des Rechnes und jetzt gerade quasi im Moment aufgefallen, das doch so einiges nicht stimmt. Als da wären: ich habe was gesucht und zwar mehrere Sachen hintereinander, nach dem dritten oder vierten Suchvorgang tauchten plötzlich schwarze Stellen im Suchfenster auf und als die Suche fertig war, wurde das geöffnete Browserfenster für einen Moment lang weiss, desweiteren ist im Moment rechts unten der Start Button zwar da und grün und auch das Windows Logo ist zu sehen, aber der Sart Schriftzug ist weg. Wenn ich das start-Fenster öfnne werden Teile nicht dargestellt und wenn ich irgendwas öffne Systemsteuerung z.B. sind in den Fenstern auch große Flächen einfach schwarz. Und gerade stelle ich fest der Taskmanager läßt sich nicht öffnen. Das war gestern noch nicht so. Auch herunterfahren und neu starten brachte nichts, wenn man einige Zeit arbeitet und irgendeine Windowsfunktion nutzt z.B. Suche tauche die Symptome wieder auf. |
12.11.2010, 10:27 | #30 |
| TR/Spy. 1036800.10 in explorer.exe Gerade zeigten sich auch hier im Internet/Browserfenster die selber Anzeichen und es wurde quasi nichts mehr richtig oder nur halb angezeigt. Runterfahren und hochfahren hilft zwar für den Moment - zur Zeit läuft alles |
Themen zu TR/Spy. 1036800.10 in explorer.exe |
.dll, antivir, avg, einstellungen, google, html, infiziert, lsass.exe, malwarebytes, microsoft, modul, namen, nt.dll, opera.exe, programm, prozesse, sched.exe, seiten, services.exe, software, suche, svchost.exe, taskmanager, temp, tr/spy., trojan.spyeyes, virus, windows, winlogon.exe |