| |
| |||||||
Log-Analyse und Auswertung: Zwielichtige Datei runtergladen - Angst vor Infizierung!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.11.2010, 21:08
| #1 |
 |  Zwielichtige Datei runtergladen - Angst vor Infizierung! Hallo, In einem Anfall eines geistigen Blackouts habe ich einen OnlinePokerbot runtergeladen. Wollte in sofort wieder deinstallieren, aber der uninstaller funktionierte nicht. Musste alles händisch löschen. Nun habe ich Angst vor einer Infizierung. Domain kann ich auf wunsch posten, ebenso die Datei. Hier die Hijacklogfile: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 20:46:15, on 13.11.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16671) Boot mode: Normal Running processes: C:\Users\Tommy\AppData\Roaming\ICQ\Application\ICQ7.2\ICQ.exe C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Skype\Phone\Skype.exe C:\Users\Tommy\Desktop\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files (x86)\KeyScrambler\KeyScramblerIE.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [ICQ] "C:\Users\Tommy\AppData\Roaming\ICQ\Application\ICQ7.2\ICQ.exe" silent loginmode=4 O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files (x86)\KeyScrambler\KeyScramblerIE.dll O9 - Extra 'Tools' menuitem: &KeyScrambler Options - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files (x86)\KeyScrambler\KeyScramblerIE.dll O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Users\Tommy\AppData\Roaming\ICQ\Application\ICQ7.2\ICQ.exe (HKCU) O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Users\Tommy\AppData\Roaming\ICQ\Application\ICQ7.2\ICQ.exe (HKCU) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 7415 bytes Danke Geändert von AquaVitale (13.11.2010 um 21:15 Uhr) |
|
13.11.2010, 21:11
| #2 |
| /// Malware-holic   | Zwielichtige Datei runtergladen - Angst vor Infizierung! meinst du mit Domian die domain?
__________________wenn ja, sende mir den download link mal als private nachicht :-)
__________________ |
|
13.11.2010, 21:18
| #3 |
| | Zwielichtige Datei runtergladen - Angst vor Infizierung! Ja Domain, war ein Tippfehler obv.
__________________ Link geht gleich raus! Wieso steht hinter vielen Win-Dateien "File Missing" in meiner Logfile? Habe die Datei schon bei Virustotal upgeloaded, wurde nichts gefunden, keine Ahnung ob das was heisst. Komischerweise kann ich Sie über die Quarantäne des Antivirs nicht uploaden, kommt immer "unbekannter Fehler". |
|
13.11.2010, 21:19
| #4 |
| /// Malware-holic | Zwielichtige Datei runtergladen - Angst vor Infizierung! weil hjt probleme mit windows 7 hatt, das hat also nichts zu bedeuten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
13.11.2010, 21:36
| #5 |
| /// Malware-holic | Zwielichtige Datei runtergladen - Angst vor Infizierung! sieht unauffällig aus, gibts denn probleme mit dem system?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
13.11.2010, 21:42
| #6 |
| | Zwielichtige Datei runtergladen - Angst vor Infizierung! Nicht wirklich. EDIT: Aber ein Troajner möchte ja nicht unbedingt auffallen, oder? Wie gesagt, funktionierte der Uninstaller nicht und ich musste das Verzeichnis händisch löschen. Auf meinem Notebook (läuft mit XP) hat der Bot beim installieren mehrere Deskoptverknüpfungen angelegt die sich anfangs nicht löschen ließen. Würde eine Logfile von XP helfen? Sieht mein System anhand der Logfile ansonsten sauber aus? Nochmals merci. |
|
13.11.2010, 21:44
| #7 |
| /// Malware-holic | Zwielichtige Datei runtergladen - Angst vor Infizierung! ja, ich hab das programm getestet und es ist ok. du kannst ja noch mit avira scannen: avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. bitte auch unter: verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig. den update auftrag auf 1x pro tag einstellen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
13.11.2010, 22:19
| #8 |
| | Zwielichtige Datei runtergladen - Angst vor Infizierung! Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 13. November 2010 22:00 Es wird nach 3043866 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 x64 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : Admin Computername : PC Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 02.08.2010 15:09:33 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:06:58 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 19:07:08 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 19:07:29 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 17:51:03 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 17:51:13 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 17:51:13 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 17:51:13 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 17:51:13 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 16:41:47 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 17:01:14 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 17:51:15 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 16:20:42 VBASE017.VDF : 7.10.13.212 2048 Bytes 11.11.2010 16:20:42 VBASE018.VDF : 7.10.13.213 2048 Bytes 11.11.2010 16:20:42 VBASE019.VDF : 7.10.13.214 2048 Bytes 11.11.2010 16:20:42 VBASE020.VDF : 7.10.13.215 2048 Bytes 11.11.2010 16:20:42 VBASE021.VDF : 7.10.13.216 2048 Bytes 11.11.2010 16:20:42 VBASE022.VDF : 7.10.13.217 2048 Bytes 11.11.2010 16:20:42 VBASE023.VDF : 7.10.13.218 2048 Bytes 11.11.2010 16:20:42 VBASE024.VDF : 7.10.13.219 2048 Bytes 11.11.2010 16:20:42 VBASE025.VDF : 7.10.13.220 2048 Bytes 11.11.2010 16:20:42 VBASE026.VDF : 7.10.13.221 2048 Bytes 11.11.2010 16:20:43 VBASE027.VDF : 7.10.13.222 2048 Bytes 11.11.2010 16:20:43 VBASE028.VDF : 7.10.13.223 2048 Bytes 11.11.2010 16:20:43 VBASE029.VDF : 7.10.13.224 2048 Bytes 11.11.2010 16:20:43 VBASE030.VDF : 7.10.13.225 2048 Bytes 11.11.2010 16:20:43 VBASE031.VDF : 7.10.13.237 73728 Bytes 13.11.2010 19:50:48 Engineversion : 8.2.4.98 AEVDF.DLL : 8.1.2.1 106868 Bytes 20.10.2010 19:08:13 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 03.11.2010 17:51:27 AESCN.DLL : 8.1.6.1 127347 Bytes 20.10.2010 19:08:10 AESBX.DLL : 8.1.3.1 254324 Bytes 20.10.2010 19:08:13 AERDL.DLL : 8.1.9.2 635252 Bytes 03.11.2010 17:51:26 AEPACK.DLL : 8.2.3.11 471416 Bytes 03.11.2010 17:51:24 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 20.10.2010 19:08:07 AEHEUR.DLL : 8.1.2.41 3043703 Bytes 13.11.2010 19:50:53 AEHELP.DLL : 8.1.14.0 246134 Bytes 03.11.2010 17:51:17 AEGEN.DLL : 8.1.3.24 401781 Bytes 03.11.2010 17:51:17 AEEMU.DLL : 8.1.2.0 393588 Bytes 20.10.2010 19:07:58 AECORE.DLL : 8.1.17.0 196982 Bytes 03.11.2010 17:51:16 AEBB.DLL : 8.1.1.0 53618 Bytes 20.10.2010 19:07:56 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 02.08.2010 15:09:33 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 02.08.2010 15:09:33 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.08.2010 15:09:45 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, F:, G:, H:, I:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 10 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR, Beginn des Suchlaufs: Samstag, 13. November 2010 22:00 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt! Bootsektor 'G:\' [INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt! Bootsektor 'H:\' [INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt! Bootsektor 'I:\' [INFO] Im Laufwerk 'I:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '102' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\Users\Tommy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\HSZPQ3ZT\262.99_desktop_win7_winvista_64bit_english_whql[1].exe [WARNUNG] Die Datei konnte nicht gelesen werden! Beginne mit der Suche in 'D:\' <Datenträger> Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'G:\' Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'H:\' Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'I:\' Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Ende des Suchlaufs: Samstag, 13. November 2010 22:14 Benötigte Zeit: 13:57 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 16413 Verzeichnisse wurden überprüft 153362 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 153362 Dateien ohne Befall 945 Archive wurden durchsucht 1 Warnungen 0 Hinweise 17908 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Was hat die rotmarkierte exe Datei zu bedeuten? Gefährlich? |
|
14.11.2010, 11:47
| #9 |
| /// Malware-holic | Zwielichtige Datei runtergladen - Angst vor Infizierung! bitte noch einschalten: Integritätsprüfung von Systemdateien
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
14.11.2010, 20:36
| #10 |
| | Zwielichtige Datei runtergladen - Angst vor Infizierung! hab alles durchgeschaut, aber nicht gefunden wo ich das einstellen kann. ansonsten hab ich mich komplett an die anleitung gehalten. |
|
14.11.2010, 20:41
| #11 |
| /// Malware-holic | Zwielichtige Datei runtergladen - Angst vor Infizierung! konfiguration, scanner, haken bei expertenmodus rein, und dort unter scanner muss es sein
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
14.11.2010, 21:07
| #12 |
| | Zwielichtige Datei runtergladen - Angst vor Infizierung! Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 14. November 2010 20:52 Es wird nach 3046032 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 x64 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : Admin Computername : PC Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 02.08.2010 15:09:33 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:06:58 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 19:07:08 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 19:07:29 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 17:51:03 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 17:51:13 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 17:51:13 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 17:51:13 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 17:51:13 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 16:41:47 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 17:01:14 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 17:51:15 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 16:20:42 VBASE017.VDF : 7.10.13.212 2048 Bytes 11.11.2010 16:20:42 VBASE018.VDF : 7.10.13.213 2048 Bytes 11.11.2010 16:20:42 VBASE019.VDF : 7.10.13.214 2048 Bytes 11.11.2010 16:20:42 VBASE020.VDF : 7.10.13.215 2048 Bytes 11.11.2010 16:20:42 VBASE021.VDF : 7.10.13.216 2048 Bytes 11.11.2010 16:20:42 VBASE022.VDF : 7.10.13.217 2048 Bytes 11.11.2010 16:20:42 VBASE023.VDF : 7.10.13.218 2048 Bytes 11.11.2010 16:20:42 VBASE024.VDF : 7.10.13.219 2048 Bytes 11.11.2010 16:20:42 VBASE025.VDF : 7.10.13.220 2048 Bytes 11.11.2010 16:20:42 VBASE026.VDF : 7.10.13.221 2048 Bytes 11.11.2010 16:20:43 VBASE027.VDF : 7.10.13.222 2048 Bytes 11.11.2010 16:20:43 VBASE028.VDF : 7.10.13.223 2048 Bytes 11.11.2010 16:20:43 VBASE029.VDF : 7.10.13.224 2048 Bytes 11.11.2010 16:20:43 VBASE030.VDF : 7.10.13.225 2048 Bytes 11.11.2010 16:20:43 VBASE031.VDF : 7.10.13.238 100352 Bytes 14.11.2010 19:51:58 Engineversion : 8.2.4.98 AEVDF.DLL : 8.1.2.1 106868 Bytes 20.10.2010 19:08:13 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 03.11.2010 17:51:27 AESCN.DLL : 8.1.6.1 127347 Bytes 20.10.2010 19:08:10 AESBX.DLL : 8.1.3.1 254324 Bytes 20.10.2010 19:08:13 AERDL.DLL : 8.1.9.2 635252 Bytes 03.11.2010 17:51:26 AEPACK.DLL : 8.2.3.11 471416 Bytes 03.11.2010 17:51:24 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 20.10.2010 19:08:07 AEHEUR.DLL : 8.1.2.41 3043703 Bytes 13.11.2010 19:50:53 AEHELP.DLL : 8.1.14.0 246134 Bytes 03.11.2010 17:51:17 AEGEN.DLL : 8.1.3.24 401781 Bytes 03.11.2010 17:51:17 AEEMU.DLL : 8.1.2.0 393588 Bytes 20.10.2010 19:07:58 AECORE.DLL : 8.1.17.0 196982 Bytes 03.11.2010 17:51:16 AEBB.DLL : 8.1.1.0 53618 Bytes 20.10.2010 19:07:56 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 02.08.2010 15:09:33 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 02.08.2010 15:09:33 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.08.2010 15:09:45 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, F:, G:, H:, I:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 10 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 14. November 2010 20:52 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avnotify.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jp2launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mscorsvw.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt! Bootsektor 'G:\' [INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt! Bootsektor 'H:\' [INFO] Im Laufwerk 'H:\' ist kein Datenträger eingelegt! Bootsektor 'I:\' [INFO] Im Laufwerk 'I:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '339' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> Beginne mit der Suche in 'D:\' <Datenträger> Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'G:\' Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'H:\' Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'I:\' Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Ende des Suchlaufs: Sonntag, 14. November 2010 21:06 Benötigte Zeit: 13:59 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 16996 Verzeichnisse wurden überprüft 160558 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 160558 Dateien ohne Befall 942 Archive wurden durchsucht 0 Warnungen 0 Hinweise 19461 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
|
14.11.2010, 21:09
| #13 |
| /// Malware-holic | Zwielichtige Datei runtergladen - Angst vor Infizierung! na also, ist ja nu aktiev :-) so, wenn du magst, gibts tipps zum absichern.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
14.11.2010, 21:12
| #14 |
| | Zwielichtige Datei runtergladen - Angst vor Infizierung! ja gerne.  da bin ich ja mal gespannt, weil ich meine, dass mein system recht sicher ist. |
|
14.11.2010, 21:19
| #15 |
| /// Malware-holic | Zwielichtige Datei runtergladen - Angst vor Infizierung! die uac sollte auf maximum stehen. klicke auf start, ausführen (suchen) tippe uac enter nachfrage bestätigen, regler auf höchste stufe. so ist es schwiriger heimlich etwas auf dem pc zu instalieren. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. wenn er dir gefällt, deinstaliere den firefox. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Paragon Backup & Recovery Free Edition - Das Produkt außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. bitte surfe ab sofort nur noch in der sandbox, mit klick auf "sandboxed web browser"
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Zwielichtige Datei runtergladen - Angst vor Infizierung! |
| adobe, antivir, antivir guard, avg, avira, bho, desktop, explorer, firefox, hijackthis, icq, internet, internet explorer, lsass.exe, micro, microsoft, mozilla, nvidia, object, plug-in, safer networking, security, software, system32, syswow64, windows, windows media player, wmp |
Linear-Darstellung
