Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   EXP/0842.AP.1.B und noch ein Paar andere (https://www.trojaner-board.de/113799-exp-0842-ap-1-b-noch-paar-andere.html)

j_wolfgang 18.04.2012 13:09
EXP/0842.AP.1.B und noch ein Paar andere
 
Hallo zusammen,
ich bin das erste Mal hier und noch Foren unerfahren.
Mein Antivir hat bei seinem Suchlauf gleich 10 mal angeschlagen.
Wenn ich es richtig verstanden habe sollte zuerst ein Logfile her:
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:59:59, on 18.04.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\PDF24\pdf24.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PDFPrint] C:\Programme\PDF24\pdf24.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SansaDispatch] C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\SanDisk\Sansa Updater\SansaDispatch.exe
O4 - HKCU\..\Run: [EPSON SX100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "C:\DOKUME~1\JRG~1\LOKALE~1\Temp\E_S20A.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Device Detection] C:\Programme\Lidl_Fotos\dd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programme\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programme\Skype\Updater\Updater.exe
 
--
End of file - 7437 bytes
--- --- ---

so für weitere Informationen hänge ich noch den AntiVir Bericht dran:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 17. April 2012 18:59

Es wird nach 3638354 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : AMILO

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 20:54:07
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 20:54:06
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 20:54:07
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 20:54:08
AVREG.DLL : 12.1.0.36 229128 Bytes 09.04.2012 15:21:19
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 09:26:53
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:06:19
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 18:22:20
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 18:22:20
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 18:22:20
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 18:22:21
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 18:22:21
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 18:22:21
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 18:22:21
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 18:22:22
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 18:22:22
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 18:22:22
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 10:11:03
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 15:58:30
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 08:23:49
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 15:21:17
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 15:21:28
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 11:45:43
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 16:40:40
VBASE021.VDF : 7.11.27.202 2048 Bytes 17.04.2012 16:40:41
VBASE022.VDF : 7.11.27.203 2048 Bytes 17.04.2012 16:40:41
VBASE023.VDF : 7.11.27.204 2048 Bytes 17.04.2012 16:40:41
VBASE024.VDF : 7.11.27.205 2048 Bytes 17.04.2012 16:40:41
VBASE025.VDF : 7.11.27.206 2048 Bytes 17.04.2012 16:40:41
VBASE026.VDF : 7.11.27.207 2048 Bytes 17.04.2012 16:40:41
VBASE027.VDF : 7.11.27.208 2048 Bytes 17.04.2012 16:40:41
VBASE028.VDF : 7.11.27.209 2048 Bytes 17.04.2012 16:40:41
VBASE029.VDF : 7.11.27.210 2048 Bytes 17.04.2012 16:40:41
VBASE030.VDF : 7.11.27.211 2048 Bytes 17.04.2012 16:40:42
VBASE031.VDF : 7.11.27.218 10752 Bytes 17.04.2012 16:40:42
Engineversion : 8.2.10.48
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 06:18:18
AESCRIPT.DLL : 8.1.4.16 446842 Bytes 05.04.2012 08:24:17
AESCN.DLL : 8.1.8.2 131444 Bytes 30.01.2012 10:31:23
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 16:50:59
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.9 807287 Bytes 31.03.2012 10:11:50
AEOFFICE.DLL : 8.1.2.27 201082 Bytes 05.04.2012 08:24:16
AEHEUR.DLL : 8.1.4.15 4628855 Bytes 13.04.2012 15:22:34
AEHELP.DLL : 8.1.19.1 254327 Bytes 02.04.2012 15:58:33
AEGEN.DLL : 8.1.5.26 418164 Bytes 17.04.2012 16:40:42
AEEXP.DLL : 8.1.0.29 82293 Bytes 13.04.2012 15:22:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 19.03.2012 17:43:09
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 11.10.2011 12:59:41
AVPREF.DLL : 12.1.0.17 51920 Bytes 11.10.2011 12:59:38
AVREP.DLL : 12.1.0.17 179408 Bytes 11.10.2011 12:59:38
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 20:54:06
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 11.10.2011 12:59:37
SQLITE3.DLL : 3.7.0.0 398288 Bytes 11.10.2011 12:59:51
AVSMTP.DLL : 12.1.0.17 62928 Bytes 11.10.2011 12:59:39
NETNT.DLL : 12.1.0.17 17104 Bytes 11.10.2011 12:59:47
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 11.10.2011 13:00:00
RCTEXT.DLL : 12.1.0.16 98512 Bytes 11.10.2011 13:00:00

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 17. April 2012 18:59

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIEDE.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'SansaDispatch.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1070' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\8118455-48544088
[0] Archivtyp: ZIP
--> json/Option.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Blacole.L
--> json/Parser.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
--> json/SmartyPointer.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Blacole.F
--> json/ThreadParser.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Blacole.E
--> json/XML.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.FL
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\jar_cache1821891076077260534.tmp
[0] Archivtyp: ZIP
--> ole.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544.CD
--> peg.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.BN.2
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\jar_cache4665519110861938896.tmp
[0] Archivtyp: ZIP
--> tam.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HJ
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\jar_cache7371941817129142018.tmp
[0] Archivtyp: ZIP
--> tor.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/0842.AP.1.B
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1IN4HUF\MyPhoneExplorer_v2_5185[1].exe

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1IN4HUF\MyPhoneExplorer_v2_5185[1].exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/Adware.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d875572.qua' verschoben!
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\jar_cache7371941817129142018.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/0842.AP.1.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55327acd.qua' verschoben!
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\jar_cache4665519110861938896.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HJ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '076d2025.qua' verschoben!
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\jar_cache1821891076077260534.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.BN.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '615a6fe7.qua' verschoben!
C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\8118455-48544088
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.FL
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '249f4309.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 18. April 2012 00:37
Benötigte Zeit: 1:34:22 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10676 Verzeichnisse wurden überprüft
612569 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
612559 Dateien ohne Befall
4998 Archive wurden durchsucht
0 Warnungen
5 Hinweise
398362 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Ich hoffe ich habe meinen Teil soweit erledigt? Fehlt was?
Sonst warte ich auf Anweisungen!! Vielen Dank schon mal im Vorraus

Jörg

Hier der gmer.txt im Anhang sind die anderern Beiden

GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-04-18 16:23:35
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Scsi\viamraid1Port2Path0Target0Lun0 FUJITSU_ rev.0000
Running: 6ywvphim.exe; Driver: C:\DOKUME~1\JRG~1\LOKALE~1\Temp\uxtdrpod.sys
 
 
---- System - GMER 1.0.15 ----
 
SSDT            EB22A20C                                ZwClose
SSDT            EB22A1C6                                ZwCreateKey
SSDT            EB22A216                                ZwCreateSection
SSDT            EB22A1BC                                ZwCreateThread
SSDT            EB22A1CB                                ZwDeleteKey
SSDT            EB22A1D5                                ZwDeleteValueKey
SSDT            EB22A207                                ZwDuplicateObject
SSDT            EB22A1DA                                ZwLoadKey
SSDT            EB22A1A8                                ZwOpenProcess
SSDT            EB22A1AD                                ZwOpenThread
SSDT            EB22A22F                                ZwQueryValueKey
SSDT            EB22A1E4                                ZwReplaceKey
SSDT            EB22A220                                ZwRequestWaitReplyPort
SSDT            EB22A1DF                                ZwRestoreKey
SSDT            EB22A21B                                ZwSetContextThread
SSDT            EB22A225                                ZwSetSecurityObject
SSDT            EB22A1D0                                ZwSetValueKey
SSDT            EB22A22A                                ZwSystemDebugControl
SSDT            EB22A1B7                                ZwTerminateProcess
 
---- Devices - GMER 1.0.15 ----
 
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 
---- EOF - GMER 1.0.15 ----
--- --- ---


Vielen Dank für eure Hilfe! Schon mal im Vorraus :)
Gruß

Psychotic 19.04.2012 07:39
:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  • Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  • Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  • Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1: TFC


Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.



Schritt 2: ESET



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


j_wolfgang 19.04.2012 11:27
Hallo Marius, danke dass du dich meinem Problem annimmst.
hier die logfile mt einem Fund:

E:\System Volume Information\_restore{F7CB9B9C-8254-491D-8076-EC108F3167B0}\RP13\A0001203.exe probably a variant of Win32/Adware.NaviPromo application


Gruß Jörg

Psychotic 19.04.2012 12:37
Systemwiederherstellungspunkte löschen

Code:
:Commands
[emptytemp]
[clearallrestorepoints]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Macht der Rechner noch Probleme?

j_wolfgang 19.04.2012 12:46
wollte kein Neustart!
hier die file:
========== COMMANDS ==========
Restore points cleared and new OTL Restore Point set!

OTL by OldTimer - Version 3.2.40.0 log created on 04192012_134204


Der Rechner lief auch davor schon problemlos, aber der AntiVir hat eben angeschlagen!

So weit so gut?

Psychotic 20.04.2012 07:14
Da hatte sich etwas, vermutlich von früher, in einem Systemwiederherstellungspunkt festgesetzt. Das sind wir los, betreiben wir aber noch ein wenig Schönheitspflege:


Schritt 1: Software entfernen

  • Drücke die Windows- und die R-Taste gleichzeitig.
  • Schreibe in die Textbox appwiz.cpl, klicke OK.
  • Suche und deinstalliere folgende Einträge:
    Zitat:
    J2SE Runtime Environment 5.0
  • Schließe das Fenster.


Schritt 2: Adobe Flash Player update


Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden.
Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:
  • Lade dir den aktuellen Adobe Flash Player von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
  • Starte das Setup und folge den Anweisungen auf dem Bildschirm.
  • Melde dich umgehend, falls Schwierigkeiten auftreten.


Schritt 3: VLC-Player update


Dein VLC-Player ist veraltet. Um ihn zu aktualisieren, gehe bitte wie folgt vor:
  • Lade dir den aktuellen Player von hier]VLC media player - Browse Files at SourceForge.net herunter.
  • Starte das Setup und folge den Anweisungen auf dem Bildschrim. Setup wird die alte Version des Players erkennen und dich fragen, ob vor der Installation die alte Version entfernt werden soll. Bestätige dies mit Ja.
  • Nachdem die alte Version des Programms entfernt wurde, startet die Neuinstallation. Belasse alles bei den vorgegebenen Werten - es sei denn, du willst daran etwas ändern (z.B. die Dateizuordnung o.ä.).
  • Melde dich umgehend, falls Schwierigkeiten auftreten.


Ansonsten wars das - logs sind sauber! :daumenhoc


OTL

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


-----------------------------------------------------------------------------------------------


Hier noch ein paar Tipps zur Absicherung deines Systems.

Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.
Antviren-Software
  • Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
    Eine Auswahl kostenloser Antivirenprogramme:
Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.
Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.
Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

j_wolfgang 20.04.2012 09:08
Aufgaben erledigt und Tipps teilweise übernommen.
Vielen Dank für deine Zeit und Arbeit! :applaus:

Psychotic 20.04.2012 10:31
Schön, dass wir helfen konnten! :abklatsch:


Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27