Die Log von Avira für den Fund von eben:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 9. Juni 2011 00:01

Es wird nach 2717983 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ADMINISTRATOR

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 29.04.2011 23:43:22
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 08.12.2010 13:19:28
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 05:50:43
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:45:44
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 22:14:34
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 12:49:39
VBASE005.VDF : 7.11.8.179 2048 Bytes 31.05.2011 12:49:39
VBASE006.VDF : 7.11.8.180 2048 Bytes 31.05.2011 12:49:39
VBASE007.VDF : 7.11.8.181 2048 Bytes 31.05.2011 12:49:39
VBASE008.VDF : 7.11.8.182 2048 Bytes 31.05.2011 12:49:39
VBASE009.VDF : 7.11.8.183 2048 Bytes 31.05.2011 12:49:39
VBASE010.VDF : 7.11.8.184 2048 Bytes 31.05.2011 12:49:39
VBASE011.VDF : 7.11.8.185 2048 Bytes 31.05.2011 12:49:39
VBASE012.VDF : 7.11.8.186 2048 Bytes 31.05.2011 12:49:39
VBASE013.VDF : 7.11.8.222 121856 Bytes 02.06.2011 14:30:09
VBASE014.VDF : 7.11.9.7 134656 Bytes 04.06.2011 14:30:09
VBASE015.VDF : 7.11.9.8 2048 Bytes 04.06.2011 14:30:09
VBASE016.VDF : 7.11.9.9 2048 Bytes 04.06.2011 14:30:09
VBASE017.VDF : 7.11.9.10 2048 Bytes 04.06.2011 14:30:09
VBASE018.VDF : 7.11.9.11 2048 Bytes 04.06.2011 14:30:09
VBASE019.VDF : 7.11.9.12 2048 Bytes 04.06.2011 14:30:09
VBASE020.VDF : 7.11.9.13 2048 Bytes 04.06.2011 14:30:09
VBASE021.VDF : 7.11.9.14 2048 Bytes 04.06.2011 14:30:09
VBASE022.VDF : 7.11.9.15 2048 Bytes 04.06.2011 14:30:09
VBASE023.VDF : 7.11.9.16 2048 Bytes 04.06.2011 14:30:09
VBASE024.VDF : 7.11.9.17 2048 Bytes 04.06.2011 14:30:09
VBASE025.VDF : 7.11.9.18 2048 Bytes 04.06.2011 14:30:09
VBASE026.VDF : 7.11.9.19 2048 Bytes 04.06.2011 14:30:09
VBASE027.VDF : 7.11.9.20 2048 Bytes 04.06.2011 14:30:09
VBASE028.VDF : 7.11.9.21 2048 Bytes 04.06.2011 14:30:09
VBASE029.VDF : 7.11.9.22 2048 Bytes 04.06.2011 14:30:09
VBASE030.VDF : 7.11.9.23 2048 Bytes 04.06.2011 14:30:10
VBASE031.VDF : 7.11.9.28 33792 Bytes 05.06.2011 14:30:10
Engineversion : 8.2.5.12
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.11.2010 18:34:10
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 29.05.2011 12:25:51
AESCN.DLL : 8.1.7.2 127349 Bytes 04.12.2010 15:09:56
AESBX.DLL : 8.2.1.34 323957 Bytes 05.06.2011 14:30:11
AERDL.DLL : 8.1.9.9 639347 Bytes 26.03.2011 18:36:56
AEPACK.DLL : 8.2.6.8 557430 Bytes 18.05.2011 13:39:19
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 05.06.2011 14:30:11
AEHEUR.DLL : 8.1.2.123 3502456 Bytes 05.06.2011 14:30:11
AEHELP.DLL : 8.1.17.2 246135 Bytes 22.05.2011 15:27:52
AEGEN.DLL : 8.1.5.6 401780 Bytes 22.05.2011 15:27:52
AEEMU.DLL : 8.1.3.0 393589 Bytes 04.12.2010 15:09:53
AECORE.DLL : 8.1.21.1 196983 Bytes 29.05.2011 12:25:49
AEBB.DLL : 8.1.1.0 53618 Bytes 01.11.2010 18:34:02
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 13:39:19
AVREG.DLL : 10.0.3.2 53096 Bytes 06.11.2010 22:49:31
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 29.04.2011 23:43:22
AVARKT.DLL : 10.0.22.6 231784 Bytes 08.12.2010 13:19:26
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 06.11.2010 22:49:30

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4e156aac\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Donnerstag, 9. Juni 2011 00:01

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BluetoothHeadsetProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sprtcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WebcamDell2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxioBurnLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDDXSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rapidkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Fabian\Desktop\_OTL\MovedFiles\06062011_205222\C_Users\Fabian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scancdiskk39.dll'
C:\Users\Fabian\Desktop\_OTL\MovedFiles\06062011_205222\C_Users\Fabian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scancdiskk39.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7d5095.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 9. Juni 2011 00:01
Benötigte Zeit: 00:06 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
20 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
19 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

AntiVir hat da nur die isolierten Schädlinge gefunden, die wir mit OTL unschädlich gemacht haben. Kannste ignorieren. Ebenso SUPERAntiSpyware das hat nur Cookies gefunden. Bliebt noch das Log von ESET.

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=aa2bcc4510878848b4d8cf60c8b47287
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-09 04:15:02
# local_time=2011-06-09 06:15:02 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 298242 44166086 341400 0
# compatibility_mode=5893 16776574 100 94 5964923 60038501 0 0
# compatibility_mode=8192 67108863 100 0 120 120 0 0
# scanned=144209
# found=6
# cleaned=0
# scan_time=3293
C:\_OTL.zip a variant of Win32/Kryptik.ODT trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Fabian\Desktop\_OTL.zip a variant of Win32/Kryptik.ODT trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Fabian\Desktop\_OTL\MovedFiles.zip a variant of Win32/Kryptik.ODT trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Fabian\Downloads\MsgPlusLive-490.exe a variant of Win32/MessengerPlus application (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles.zip a variant of Win32/Kryptik.ODT trojan (unable to clean) 00000000000000000000000000000000 I
C:\_OTL\MovedFiles\06062011_205222\C_Users\Fabian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scancdiskk39.dll a variant of Win32/Kryptik.ODT trojan (unable to clean) 00000000000000000000000000000000 I

Auch ESET hat die mit OTL verschobenen Schädlinge gefunden. Außerdem
C:\Users\Fabian\Downloads\MsgPlusLive-490.exe
Aber das kannste ignorieren. ESET meldet auch einen Messenger, der u.U. in Firmenumgebungen nicht erlaubt ist.

Was sagt mir das Chef, bin ich den Trojaner los und alles wieder gut?

Jau. Noch probleme oder ist nun alles paletti?

Wenn es noch was gibt melde ich mich. Vielen Dank, ich finde es sehr gut von dir/euch das ihr das ganze hier kostenlos anbietet. Sollte mehr Menschen von euch geben. Tolle Arbeit, großen Respekt. Vielen Dank.

p.s: Kann man sich dazu irgendwie ausbilden lassen oder ähnliches? Hätte auch großes Interesse sowas zu erlenen und anderen zu helfen

Zitat:

p.s: Kann man sich dazu irgendwie ausbilden lassen oder ähnliches? Hätte auch großes Interesse sowas zu erlenen und anderen zu helfen

Geht schon, wir sind momentan abe leider voll mit Schülern
In drei-vire Wochen kannst du vllt mal ne Bewerbung schicken, momentan ist sehr ungünstig => http://www.trojaner-board.de/88896-a...ner-board.html

Ansonsten wären wir aber durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Dann vielen Dank und mach weiter so! Ich hoffe ich finde mal ein Forum wie dieses, die noch Schüler nehmen :P