Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen (https://www.trojaner-board.de/116512-win64-sirefef-a-trj-win32-sirefef-ao-rtk-eingefangen.html)

cheffefrau 05.06.2012 08:25
Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen
 
Hallo zusammen!

Ich hab mir da einen (oder mehrere?) hartnäckigen Virus eingefangen, mein Betriebssystem ist Windows 7 Professional 32bit:

Gestern poppte plötzlich ein Fenster auf, wo stand, dass "Security Shell" erfolgreich installiert wurde (hab aber nichts installiert). Die Software hatte ein Icon, das aussah wie ein grünes Ei. Ich habe die Meldung geschlossen, da startete sich das Programm und gab vor, einen Virenscan durchzuführen. Ich habe den Prozess (mpvprqirrp.exe) gleich gekillt und wollte googeln, was es damit auf sich hat. Das funktionierte dann aber nicht mehr (IE9 - es erschien eine Meldung wie bei einem ungültigen SSL Zertifikat). Ich weiß nicht, ob es relevant ist, aber zur ziemlich gleichen Zeit, als die Security Shell-Meldung erschien, hab ich die Meldung erhalten, dass ein Adobe Flash Plugin Update zur Verfügung steht, welches ich dann installiert habe.

Zu dieser Zeit hatte ich "Microsoft Security Essentials" laufen, welches sich überhaupt nicht zu diesem Thema geäußert hat ;-). Hab mir dann den avast heruntergeladen, die Internetverbindung getrennt, MSE deinstalliert, avast installiert und eine Startzeitprüfung (direkt nach dem booten) durchgeführt, die mehrere Stunden gedauert hat und offensichtlich auch einige Viren gefunden und entfernt hat.

Nach dem Neustart funktioniert zwar alles soweit (Internet, usw.), allerdings meldet avast alle paar Minuten zwei Bedrohungen:

Win64:Sirefef-A (Trj)
C:\Windows\Installer\...\80000000.@
Prozess: C:\Windows\system32\services.exe

Win32:Sirefef-AO (Rtk)
C:\Windows\Installer\...\80000000cb.@
Prozess: C:\Windows\system32\services.exe

Aktion (bei beiden): In Container verschoben

Ich habe gelesen, dass der Sirefef-A netbanking Konten ausspionieren könnte usw., zum Glück war ich gestern nicht im netbanking. Hab über einen anderen Rechner mein netbanking-Passwort geändert, damit da nichts passieren kann.

Hab den defogger ausgeführt und auf disable geklickt - keine Fehlermeldung.

Mit OTL.exe hab ich einen Quick Scan durchgeführt, die Logs sind im Anhang.

Weiters habe ich Gmer scannen lassen und das Log auch angehängt.

Alle drei Logs befinden sich im angehängten ZIP-File.

Ich würde mich sehr freuen, wenn ihr mir helfen könntet :-).

lg Sabrina

cosinus 07.06.2012 09:45
Zitat:
die mehrere Stunden gedauert hat und offensichtlich auch einige Viren gefunden und entfernt hat.
Und wo sind die Logs dazu?

cheffefrau 07.06.2012 11:32
Hallo Arne!

Danke für deine Antwort. Hab versucht, das Log zu finden... es heißt, avast schreibt das Log des Startzeitscans in die aswboot.txt, die gibt es auf meinem System aber leider nicht :-(. Eventuell löscht avast die nach ein paar Tagen? Soll ich noch einmal den Startzeitscan ausführen?

lg Sabrina

cosinus 07.06.2012 15:13
Ich bin mir nnicht mehr sicher, meine mal gesehen zu haben, dass Avast die ins Ereignisprotokoll schreibt

cheffefrau 07.06.2012 16:30
hab's gefunden :-):

Code:
06/04/2012 11:07
Prüfung aller lokalen Laufwerke

Datei C:\Program Files\Android\android-sdk\system-images\android-15\armeabi-v7a\userdata.img|>META-INF\MANIFEST.MF Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Program Files\JGsoft\EditPadLite\EditPadPro.chm|>images\PrefsTabs.png Fehler 42136 {CHM-Archiv ist beschädigt.}
Datei C:\Users\***\android-sdks\platforms\android-7\images\userdata.img|>META-INF\MANIFEST.MF Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OB30CL34\soft4[1].exe ist infiziert von Win32:SecShield-A [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0WFEIAR2\main[2].htm ist infiziert von HTML:Iframe-inf, Gelöscht
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\16JAKG28\findtsee[1].htm ist infiziert von HTML:RedirME-inf [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\16JAKG28\findtsee[2].htm ist infiziert von HTML:RedirME-inf [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\16JAKG28\showthread[1].htm ist infiziert von JS:Downloader-AZE [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\mpvprqirrp.exe ist infiziert von Win32:SecShield-A [Trj], Gelöscht
Datei C:\Users\***\AppData\Local\Temp\_TS9BB9.tmp\_TS11.tmp\son2007_proj_2011-08-18.zip|>Release\Setup\Setup\Version 3.5.19\CabCache\FrontendComOcx.cab|>IDSAAKeyplayer.ocx_8_510 Fehler 42127 {CAB-Archiv ist beschädigt.}
Datei C:\Users\***\AppData\Local\Temp\_TS9BB9.tmp\_TS11.tmp\son2007_proj_2011-08-18.zip|>Release\Setup\Setup\Version 3.5.19\CabCache\FrontendComOcx.cab Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei C:\Users\***\AppData\Roaming\Thunderbird\Profiles\41trowjy.default\Mail\pop.gmx.net\Ablage|>winmail.dat#2069721833|>Gehaltsrechner(1).xls|>_5_DocumentSummaryInformation Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\80000000.@ ist infiziert von Win64:Sirefef-A [Trj], Reparieren: Fehler 42060 {Die Datei wurde nicht repariert.}, In Container verschieben: Fehler 0xC0000034 {Der Objektname wurde nicht gefunden.}, Gelöscht
Datei C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\800000cb.@ ist infiziert von Win32:Sirefef-AO [Rtk], Gelöscht
Datei D:\Buchhaltung\xxx\6ABD71E3.tmp|>Workbook Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei D:\Buchhaltung\xxx\DABF28E9.tmp|>Workbook Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei D:\Buchhaltung\xxx\E085E54D.tmp|>Workbook Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei D:\Handy\Sony Ericsson Vivaz\Sounds\Sonstige Dateien\Wolfgang_Ambros_-_Singt_Moser_'Der_alte_Sünder'.rar|>Wolfgang Ambros - Singt Moser 'Der alte Sünder'\03 - Hallo Dienstmann (Als Gast Rainhard Fendrich) - Wolfgang Ambros.mp3 Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Install\Handy\Absolute_Tris__MIDP20_240x400_Stylus.jar|>e.class ist infiziert von Java:SMSreg-U [PUP], Gelöscht
Datei D:\Install\Handy\Absolute_Tris__MIDP20_240x400_Stylus.jar|>res\code.jar|>e.class ist infiziert von Java:SMSreg-U [PUP], Löschen: Fehler 0xC0000043 {Eine Datei kann nicht geöffnet werden, da die Attribute für den gemeinsamen Zugriff nicht kompatibel sind.}, Löschen: Fehler 0x80000006 {Keine weiteren Dateien}, Löschen: Fehler 0x80000006 {Keine weiteren Dateien}, In Container verschieben: Fehler 0x80000006 {Keine weiteren Dateien}, Reparieren: Fehler 42060 {Die Datei wurde nicht repariert.}
Datei D:\SBS Rewe 9.4.rar|>SBS Rewe 9.4\Microsoft\SQLServerExpress\SQLEXPR_DEU.EXE|>setup\sqlrun_tools.msi Fehler 42127 {CAB-Archiv ist beschädigt.}
Datei D:\SBS Rewe 9.4.rar|>SBS Rewe 9.4\Microsoft\SQLServerExpress\SQLEXPR_DEU.EXE Fehler 42126 {RAR-Archiv ist beschädigt.}
Datei D:\Visual Studio\westWatchers\westWatchers.suo|>DocumentWindowPositions Fehler 42144 {OLE-Archiv ist beschädigt.}
Datei D:\Webs\xxx\de\login\auswertungen\Version 20.10.10.zip|>Version 20.10.10\SBS_Info\Installation\Datensicherung und Wartung SQLServer Express.pdf Fehler 42125 {ZIP-Archiv ist beschädigt.}
Datei E:\Sonstige Dateien\Wolfgang_Ambros_-_Singt_Moser_'Der_alte_Sünder'.rar|>Wolfgang Ambros - Singt Moser 'Der alte Sünder'\03 - Hallo Dienstmann (Als Gast Rainhard Fendrich) - Wolfgang Ambros.mp3 Fehler 42126 {RAR-Archiv ist beschädigt.}
Anzahl durchsuchter Ordner: 59762
Anzahl der geprüften Dateien: 4987150
Anzahl infizierter Dateien: 10

cosinus 07.06.2012 20:19
Wo genau hast du das Log gefunden?

Zitat:
D:\SBS Rewe 9.4.rar
Was ist das, wo hast du das her?

cheffefrau 07.06.2012 20:31
Zitat:
Zitat von cosinus (Beitrag 841878)
Wo genau hast du das Log gefunden?
Ich habe es im Ordner C:\ProgramData\AVAST Software\Avast\report gefunden. Die Datei heißt aswboot.txt. In diversen Foren schreiben die Leute, es wäre im log Verzeichnis, da war es bei mir aber nicht. Ich habe auf der C-Platte mit der Windows 7 Suche nach aswboot.txt gesucht, da hat es mir nichts angezeigt, deshalb dachte ich erst, die Datei wäre bei mir nicht vorhanden...

Zitat:
Was ist das, wo hast du das her?
Das ist ein Buchhaltungsprogramm, das ist in Ordnung.

lg Sabrina

cosinus 07.06.2012 21:26
Zitat:
Das ist ein Buchhaltungsprogramm, das ist in Ordnung.
Ich hab aber nach der Quelle gefragt... :pfeiff:

cheffefrau 08.06.2012 06:58
sorry...

Das Programm ist von SBS-Software: www.sbs-software.de

lg Sabrina

cosinus 08.06.2012 10:01
Zitat:
Das ist ein Buchhaltungsprogramm, das ist in Ordnung.
Ähm Moment mal, ist das ein Büro-/Firmen-PC?

Firmenrechner? Werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

cheffefrau 08.06.2012 10:28
Oh, das wusste ich nicht...

Ja, das ist ein Firmenrechner. Ich bin ein Ein-Personen-Unternehmen und werde auch gerne eine Spende überweisen, wenn ihr mir helfen könnt :-).

lg Sabrina

cosinus 08.06.2012 13:20
Ja, da machen wir dann natürlich eine Ausnahme :)

Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

cheffefrau 09.06.2012 22:19
super, danke :-).

So, es hat etwas länger gedauert, da ich es ein zweites Mal starten musste, nachdem ich mir nach dem ersten ESET Onlinescan offensichtlich noch einen weiteren Virus eingefangen habe :-(... das WLAN war noch aktiviert, als ich meinen Virenschutz gestoppt hab :-(.

Also hier das Malwarebytes-Log von gestern:

Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.08.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ****** [Administrator]

Schutz: Aktiviert

08.06.2012 15:53:37
mbam-log-2012-06-08 (19-43-12).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 753422
Laufzeit: 3 Stunde(n), 46 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\00000001.@ (Trojan.Small) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trzE4C9.tmp (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)
und das von heute:

Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.08.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ****** [Administrator]

Schutz: Aktiviert

09.06.2012 18:41:10
mbam-log-2012-06-09 (23-14-42).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 756800
Laufzeit: 3 Stunde(n), 41 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Bösartig: (C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n.) Gut: (%SystemRoot%\system32\shdocvw.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\00000001.@ (Trojan.Small) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\80000000.@ (Trojan.Sirefef) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trz4C0D.tmp (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trzE4C9.tmp (Rootkit.0Access) -> Keine Aktion durchgeführt.

(Ende)
und hier das von ESET:

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c1d93256b2e2554f8a35b8e981c0b6ed
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-09 12:49:44
# local_time=2012-06-09 02:49:44 (+0100, Mitteleuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=768 16777215 100 0 80888065 80888065 0 0
# compatibility_mode=5893 16776574 66 94 37946137 90809066 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=508423
# found=14
# cleaned=0
# scan_time=25109
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V1TCZUJ\index-functions[1].js        Win32/RegistryBooster application (unable to clean)        00000000000000000000000000000000        I
C:\Users\***\AppData\Local\Temp\ICReinstall\cnet_mygeneration_1303_exe.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
C:\Users\***\AppData\Local\Temp\ICReinstall\cnet_X12-30351_exe.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n        Win32/Sirefef.EV trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\***\Desktop\Verknüpfungen\registrybooster.exe        Win32/RegistryBooster application (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n        Win32/Sirefef.EV trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\80000000.@        a variant of Win32/Sirefef.FA trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\800000cb.@        probably a variant of Win32/Agent.TEO trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trz4C0D.tmp        probably a variant of Win32/Agent.TEO trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trzE4C9.tmp        probably a variant of Win32/Agent.TEO trojan (unable to clean)        00000000000000000000000000000000        I
D:\Install\Brenner\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso        Win32/Toolbar.AskSBar application (unable to clean)        00000000000000000000000000000000        I
D:\Install\Dokumentationstools\cnet_mygeneration_1303_exe.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
D:\Install\Dokumentationstools\cnet_X12-30351_exe.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
${Memory}        a variant of Win32/Sirefef.EV trojan        00000000000000000000000000000000        I
esets_scanner_update returned -1 esets_gle=12
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c1d93256b2e2554f8a35b8e981c0b6ed
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-09 02:52:32
# local_time=2012-06-09 04:52:32 (+0100, Mitteleuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=768 16777215 100 0 80938414 80938414 0 0
# compatibility_mode=5893 16776574 66 94 37996486 90859415 0 0
# compatibility_mode=8192 67108863 100 0 46897 46897 0 0
# scanned=510751
# found=14
# cleaned=0
# scan_time=25329
C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7V1TCZUJ\index-functions[1].js        Win32/RegistryBooster application (unable to clean)        00000000000000000000000000000000        I
C:\Users\***\AppData\Local\Temp\ICReinstall\cnet_mygeneration_1303_exe.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
C:\Users\***\AppData\Local\Temp\ICReinstall\cnet_X12-30351_exe.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
C:\Users\***\AppData\Local\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n        Win32/Sirefef.EV trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\***\Desktop\Verknüpfungen\registrybooster.exe        Win32/RegistryBooster application (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\n        Win32/Sirefef.EV trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\80000000.@        a variant of Win32/Sirefef.FA trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\800000cb.@        probably a variant of Win32/Agent.TEO trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trz4C0D.tmp        probably a variant of Win32/Agent.TEO trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows\Installer\{57340967-3115-2e3a-5a01-9e4cd06c937d}\U\trzE4C9.tmp        probably a variant of Win32/Agent.TEO trojan (unable to clean)        00000000000000000000000000000000        I
D:\Install\Brenner\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso        Win32/Toolbar.AskSBar application (unable to clean)        00000000000000000000000000000000        I
D:\Install\Dokumentationstools\cnet_mygeneration_1303_exe.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
D:\Install\Dokumentationstools\cnet_X12-30351_exe.exe        a variant of Win32/InstallCore.D application (unable to clean)        00000000000000000000000000000000        I
${Memory}        a variant of Win32/Sirefef.EV trojan        00000000000000000000000000000000        I

cosinus 09.06.2012 22:41
Zitat:
D:\Install\Brenner\Nero 8 Ultra Edition 8.3.0 Multilanguage FULL Retail\Nero 8.3.0.iso
Nero 8 Full Retail als ISO? Das ist doch niemals eine legale Version sondern gecrackt! http://cosgan.de/images/midi/boese/a040.gif

Sry aber bei illegaler Software gibt es hier nur noch Hilfe zur Datensicherung + Neuinstallation von Windows

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

cheffefrau 10.06.2012 08:54
Das Programm ist sehr alt - hab ich damals von einem Freund bekommen und nie verwendet... ich denke, es ist noch von meinem alten Rechner über und mit der Sicherung auf den neuen gekommen.

OK, trotzdem danke für deine Hilfe, dann werde ich den PC wohl neu aufsetzen müssen.

lg Sabrina


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131