Trojaner-Board - Avira erst Warnung HTML/Infected.WebPage.Gen2 beim Scan dann mehrere versteckte Objekte gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Avira erst Warnung HTML/Infected.WebPage.Gen2 beim Scan dann mehrere versteckte Objekte gefunden (https://www.trojaner-board.de/108233-avira-erst-warnung-html-infected-webpage-gen2-beim-scan-dann-mehrere-versteckte-objekte-gefunden.html)

Code:

 aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST Software

Run date: 2012-01-20 14:38:58

-----------------------------

14:38:58.458    OS Version: Windows x64 6.1.7601 Service Pack 1

14:38:58.458    Number of processors: 2 586 0x4303

14:38:58.458    ComputerName: WINDOWSUSER-PC  UserName: Windows User

14:38:59.441    Initialize success

14:39:45.102    AVAST engine defs: 12012000

14:41:09.671    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-3

14:41:09.687    Disk 0 Vendor: WDC_WD5000AAVS-00ZTB0 01.01B01 Size: 476940MB BusType: 3

14:41:09.687    Disk 0 MBR read successfully

14:41:09.687    Disk 0 MBR scan

14:41:09.718    Disk 0 Windows 7 default MBR code

14:41:09.734    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048

14:41:09.734    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       105072 MB offset 206848

14:41:09.765    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       102400 MB offset 215394304

14:41:09.780    Disk 0 Partition - 00     0F Extended LBA            269366 MB offset 425109504

14:41:09.796    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       269365 MB offset 425111552

14:41:09.796    Service scanning

14:41:15.818    Modules scanning

14:41:15.818    Disk 0 trace - called modules:

14:41:16.395    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS viaide.sys PCIIDEX.SYS hal.dll atapi.sys 

14:41:16.395    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800492d060]

14:41:16.395    3 CLASSPNP.SYS[fffff8800160143f] -> nt!IofCallDriver -> [0xfffffa800440b580]

14:41:16.410    5 ACPI.sys[fffff88000ea77a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-3[0xfffffa800440d060]

14:41:17.378    AVAST engine scan C:\Windows

14:41:23.696    AVAST engine scan C:\Windows\system32

14:44:19.492    AVAST engine scan C:\Windows\system32\drivers

14:44:29.944    AVAST engine scan C:\Users\Windows User

14:47:38.689    AVAST engine scan C:\ProgramData

14:48:23.586    Scan finished successfully

15:11:42.394    Disk 0 MBR has been saved successfully to "C:\Users\Windows User\Desktop\MBR.dat"

15:11:42.409    The log file has been saved successfully to "C:\Users\Windows User\Desktop\aswMBR.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So hier das MalwareBytes Log hat wieder nur Xbins gefunden:

Code:

 Malwarebytes Anti-Malware 1.60.0.1800

www.malwarebytes.org
 

Datenbank Version: v2012.01.20.04
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Windows User :: WINDOWSUSER-PC [Administrator]
 

21.01.2012 03:55:06

mbam-log-2012-01-21 (05-30-07).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 512252

Laufzeit: 1 Stunde(n), 26 Minute(n), 39 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

D:\My Documents\Downloads\Auto_Xbins_2008_by_Ground_Zero\Auto Xbins 2008 by Ground Zero.exe (HackTool.IRCBrute) -> Keine Aktion durchgeführt.
 

(Ende)

Also der File Extension Remover ist auch so eine uralt Leiche die ich seit Jahren nicht mehr benutzt habe. Ich denke ich werde diese alten Archive jetzt mal alle Endgültig in die Tonne kloppen und die Tracking Cookies sind eh nicht der Rede wert abgesehen davon dass Sie in nem Backup Verzeichnis liegen.

Code:

 SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 01/21/2012 at 09:16 AM
 

Application Version : 5.0.1142
 

Core Rules Database Version : 8153

Trace Rules Database Version: 5965
 

Scan type       : Complete Scan

Total Scan Time : 03:34:38
 

Operating System Information

Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Limited User
 

Memory items scanned      : 557

Memory threats detected   : 0

Registry items scanned    : 45587

Registry threats detected : 0

File items scanned        : 459079

File threats detected     : 27
 

Trojan.Agent/Gen-Autorun[Swisyn]

        ZIP ARCHIVE( D:\MY DOCUMENTS\DOWNLOADS\DIVERSES\-== SORT ==-\INTERNET TOOLS\FILE EXTENSION RENAMER\EZXTN.ZIP )/EZXTN.EXE

        D:\MY DOCUMENTS\DOWNLOADS\DIVERSES\-== SORT ==-\INTERNET TOOLS\FILE EXTENSION RENAMER\EZXTN.ZIP
 

Adware.Tracking Cookie

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@INTERCLICK[1].TXT [ /INTERCLICK ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@AD.ZANOX[2].TXT [ /AD.ZANOX ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@FASTCLICK[1].TXT [ /FASTCLICK ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@MEDIAPLEX[1].TXT [ /MEDIAPLEX ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@AD2.ADFARM1.ADITION[1].TXT [ /AD2.ADFARM1.ADITION ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@TRACK.EFFILIATION[2].TXT [ /TRACK.EFFILIATION ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@SERVING-SYS[1].TXT [ /SERVING-SYS ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@ATDMT[2].TXT [ /ATDMT ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@BS.SERVING-SYS[1].TXT [ /BS.SERVING-SYS ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@DOUBLECLICK[1].TXT [ /DOUBLECLICK ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@TRACKING.MINDSHARE[1].TXT [ /TRACKING.MINDSHARE ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@TRACKING.QUISMA[2].TXT [ /TRACKING.QUISMA ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@WEBMASTERPLAN[2].TXT [ /WEBMASTERPLAN ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@SPECIFICCLICK[2].TXT [ /SPECIFICCLICK ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@ADFARM1.ADITION[1].TXT [ /ADFARM1.ADITION ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@APMEBF[2].TXT [ /APMEBF ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@MSNPORTAL.112.2O7[1].TXT [ /MSNPORTAL.112.2O7 ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@ZANOX[1].TXT [ /ZANOX ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@ADX.CHIP[2].TXT [ /ADX.CHIP ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@INVITEMEDIA[1].TXT [ /INVITEMEDIA ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@ZANOX-AFFILIATE[2].TXT [ /ZANOX-AFFILIATE ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@TRACK.EFFILIATION[1].TXT [ /TRACK.EFFILIATION ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@AD.ADSERVER01[1].TXT [ /AD.ADSERVER01 ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@AD.CHIP[1].TXT [ /AD.CHIP ]

        E:\WINDOWS USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\COOKIES\LOW\WINDOWS_USER@AD.YIELDMANAGER[2].TXT [ /AD.YIELDMANAGER ]

So und hier auch das Eset Log der Softonic Downloader stammt auch aus einen älteren Betriebssystem und wurde in diesem weder runtergeladen noch ausgeführt. Was mich allerdings verwundert ist das Eset den nicht schon beim letzten mal gefunden hat?

Code:

 ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=3f5adaf6adb975458371f82b7fc68d71

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-19 07:55:53

# local_time=2012-01-19 08:55:53 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1792 16777215 100 0 8210429 8210429 0 0

# compatibility_mode=5893 16776574 100 94 20692092 78576996 0 0

# compatibility_mode=8192 67108863 100 0 3927 3927 0 0

# scanned=337803

# found=2

# cleaned=0

# scan_time=12649

D:\My Documents\Downloads\SoftonicDownloader60361.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

D:\My Documents\Downloads\Diverses\-== SORT ==-\Performance\Tweak-XP.Pro.v4.0.6.rar        multiple threats (unable to clean)        00000000000000000000000000000000        I

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=3f5adaf6adb975458371f82b7fc68d71

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-21 01:13:36

# local_time=2012-01-21 02:13:36 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1792 16777215 100 0 8403614 8403614 0 0

# compatibility_mode=5893 16776574 100 94 20885277 78770181 0 0

# compatibility_mode=8192 67108863 100 0 197112 197112 0 0

# scanned=327471

# found=2

# cleaned=0

# scan_time=11327

D:\My Documents\Downloads\SoftonicDownloader60361.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I

D:\My Documents\Downloads\Diverses\-== SORT ==-\Performance\Tweak-XP.Pro.v4.0.6.rar        multiple threats (unable to clean)        00000000000000000000000000000000        I

Nur Cookies und die bereits am Anfang gefunden Archive, weg damit wenn du das nicht mehr brauchst.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hi,

das System scheint wieder in Ordnung zu sein vielen Dank dafür. Aber ich denke ich werde es zur Sicherheit dennoch demnächst Platt machen und neu aufsetzen man weiss ja nie bei dem Mistzeug. Aber wie gesagt vielen vielen Dank fürs helfen.

LG
SokraX