Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Avira findet ständig Viren ATRAPS.Gen ...Gen2 / BDS.Acess (https://www.trojaner-board.de/119860-avira-findet-staendig-viren-atraps-gen-gen2-bds-acess.html)

HH1887 19.07.2012 08:54
Avira findet ständig Viren ATRAPS.Gen ...Gen2 / BDS.Acess
 
Hallo liebes Forum,

zunächst einmal möchte ich wirklich ein großes Lob an die Betreiber und Aktiven hier aussprechen. Ich hoffe mir kann ebenfalls geholfen werden.

Wie in der Überschrift beschrieben poppt seit neuestem im Abstand von ca 5 Minuten der Avira Alarm hoch. Stets mit einem TRATRAPS.Gen ... Gen2 oder BDS/Access. Ein Klick auf "Entfernen" scheint nicht zu helfen.

Ich habe anbei einmal die beiden Ergebnisse der LOG via Avira sowie Malware eingefügt. Es wäre wirklich sehr freundlich, wenn sich dieses jemand einmal anschauen könnte

LG
Wolff

AVIRA 1
Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 18. Juli 2012  18:54

Es wird nach 3896493 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows Vista x64
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : WOLFF-PC

Versionsinformationen:
BUILD.DAT      : 10.2.0.707    36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE    : 10.3.0.7      484008 Bytes  02.07.2011 10:50:43
AVSCAN.DLL    : 10.0.5.0      57192 Bytes  02.07.2011 10:50:43
LUKE.DLL      : 10.3.0.5      45416 Bytes  02.07.2011 10:50:43
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 11:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  02.07.2011 10:50:43
AVREG.DLL      : 10.3.0.9      88833 Bytes  13.07.2011 05:30:51
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:47:50
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 10:06:31
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 13:57:28
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 12:00:45
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 06:38:13
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 16:45:00
VBASE006.VDF  : 7.11.34.117    2048 Bytes  29.06.2012 16:45:00
VBASE007.VDF  : 7.11.34.118    2048 Bytes  29.06.2012 16:45:00
VBASE008.VDF  : 7.11.34.119    2048 Bytes  29.06.2012 16:45:00
VBASE009.VDF  : 7.11.34.120    2048 Bytes  29.06.2012 16:45:00
VBASE010.VDF  : 7.11.34.121    2048 Bytes  29.06.2012 16:45:00
VBASE011.VDF  : 7.11.34.122    2048 Bytes  29.06.2012 16:45:00
VBASE012.VDF  : 7.11.34.123    2048 Bytes  29.06.2012 16:45:00
VBASE013.VDF  : 7.11.34.124    2048 Bytes  29.06.2012 16:45:00
VBASE014.VDF  : 7.11.34.201  169472 Bytes  02.07.2012 08:09:50
VBASE015.VDF  : 7.11.35.19    122368 Bytes  04.07.2012 10:04:10
VBASE016.VDF  : 7.11.35.87    146944 Bytes  06.07.2012 08:24:04
VBASE017.VDF  : 7.11.35.143  126464 Bytes  09.07.2012 16:44:28
VBASE018.VDF  : 7.11.35.235  151552 Bytes  12.07.2012 16:44:28
VBASE019.VDF  : 7.11.36.45    118784 Bytes  13.07.2012 16:44:28
VBASE020.VDF  : 7.11.36.107  123904 Bytes  16.07.2012 07:54:46
VBASE021.VDF  : 7.11.36.147  238592 Bytes  17.07.2012 07:54:46
VBASE022.VDF  : 7.11.36.148    2048 Bytes  17.07.2012 07:54:46
VBASE023.VDF  : 7.11.36.149    2048 Bytes  17.07.2012 07:54:46
VBASE024.VDF  : 7.11.36.150    2048 Bytes  17.07.2012 07:54:46
VBASE025.VDF  : 7.11.36.151    2048 Bytes  17.07.2012 07:54:46
VBASE026.VDF  : 7.11.36.152    2048 Bytes  17.07.2012 07:54:46
VBASE027.VDF  : 7.11.36.153    2048 Bytes  17.07.2012 07:54:46
VBASE028.VDF  : 7.11.36.154    2048 Bytes  17.07.2012 07:54:46
VBASE029.VDF  : 7.11.36.155    2048 Bytes  17.07.2012 07:54:46
VBASE030.VDF  : 7.11.36.156    2048 Bytes  17.07.2012 07:54:46
VBASE031.VDF  : 7.11.36.174    28160 Bytes  18.07.2012 07:54:47
Engineversion  : 8.2.10.114
AEVDF.DLL      : 8.1.2.10      102772 Bytes  14.07.2012 16:44:30
AESCRIPT.DLL  : 8.1.4.32      455034 Bytes  06.07.2012 10:04:18
AESCN.DLL      : 8.1.8.2      131444 Bytes  27.01.2012 20:11:41
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 07:10:12
AERDL.DLL      : 8.1.9.15      639348 Bytes  10.09.2011 12:30:04
AEPACK.DLL    : 8.3.0.14      807287 Bytes  14.07.2012 16:44:30
AEOFFICE.DLL  : 8.1.2.40      201082 Bytes  28.06.2012 17:56:50
AEHEUR.DLL    : 8.1.4.72    5038455 Bytes  14.07.2012 16:44:30
AEHELP.DLL    : 8.1.23.2      258422 Bytes  28.06.2012 17:55:57
AEGEN.DLL      : 8.1.5.32      434548 Bytes  06.07.2012 10:04:12
AEEXP.DLL      : 8.1.0.62      86389 Bytes  14.07.2012 16:44:30
AEEMU.DLL      : 8.1.3.2      393587 Bytes  14.07.2012 16:44:29
AECORE.DLL    : 8.1.27.2      201078 Bytes  14.07.2012 16:44:29
AEBB.DLL      : 8.1.1.0        53618 Bytes  06.11.2010 08:14:42
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 11:59:10
AVPREF.DLL    : 10.0.3.2      44904 Bytes  02.07.2011 10:50:43
AVREP.DLL      : 10.0.0.10    174120 Bytes  29.05.2011 08:25:23
AVARKT.DLL    : 10.0.26.1    255336 Bytes  02.07.2011 10:50:43
AVEVTLOG.DLL  : 10.0.0.9      203112 Bytes  02.07.2011 10:50:43
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 12:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 15:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 14:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  02.07.2011 10:50:43
RCTEXT.DLL    : 10.0.64.0      98664 Bytes  02.07.2011 10:50:43

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 18. Juli 2012  18:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'aluso.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'IELowutil.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'CameraHelperShell.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'StumbleUponUpdater.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrS64H.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'dgdersvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'DBService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '286' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Wolff\AppData\Local\Temp\jar_cache1680367953386858709.tmp
  [0] Archivtyp: ZIP
  --> CL1.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DW
  --> CL2.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DX
  --> CL3.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2008-5353.AM.1
C:\Users\Wolff\AppData\Local\Temp\jar_cache6402808559336644627.tmp
  [0] Archivtyp: ZIP
  --> CL1.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DW
  --> CL2.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DX
  --> CL3.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2008-5353.AM.1
C:\Windows\Installer\{6fb6a766-c028-5348-1292-7cf284d41c0a}\U\00000001.@
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZAccess.T
C:\Windows\System32\services.exe
  [FUND]      Enthält Code des Windows-Virus W32/Patched.UA
Beginne mit der Suche in 'E:\' <Data>

Beginne mit der Desinfektion:
C:\Windows\System32\services.exe
  [FUND]      Enthält Code des Windows-Virus W32/Patched.UA
  [HINWEIS]  Eine Sicherungskopie wurde unter dem Namen 55a2a43d.qua erstellt ( QUARANTÄNE )
C:\Windows\Installer\{6fb6a766-c028-5348-1292-7cf284d41c0a}\U\00000001.@
  [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/ZAccess.T
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d7b8bcd.qua' verschoben!
C:\Users\Wolff\AppData\Local\Temp\jar_cache6402808559336644627.tmp
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DW
  [WARNUNG]  Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
  [WARNUNG]  Die Quelldatei konnte nicht gefunden werden.
  [HINWEIS]  Die Datei wurde zum Löschen nach einem Neustart markiert.
  [HINWEIS]  Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
C:\Users\Wolff\AppData\Local\Temp\jar_cache1680367953386858709.tmp
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.DW
  [WARNUNG]  Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
  [WARNUNG]  Die Quelldatei konnte nicht gefunden werden.
  [HINWEIS]  Die Datei wurde zum Löschen nach einem Neustart markiert.
  [HINWEIS]  Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.


Ende des Suchlaufs: Mittwoch, 18. Juli 2012  21:07
Benötigte Zeit:  2:10:03 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  40201 Verzeichnisse wurden überprüft
 825462 Dateien wurden geprüft
    10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 825452 Dateien ohne Befall
  12992 Archive wurden durchsucht
      2 Warnungen
      4 Hinweise

MALWARE1

Code:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.18.07

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Wolff :: WOLFF-PC [Administrator]

Schutz: Aktiviert

18.07.2012 19:50:11
mbam-log-2012-07-18 (19-50-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 394492
Laufzeit: 1 Stunde(n), 50 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 22
HKCR\CLSID\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCR\funmoods.funmoodsHlpr.1 (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCR\funmoods.funmoodsHlpr (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCR\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\escort.escortIEPane.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\escort.escortIEPane (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\CLSID\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\funmoods.dskBnd.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\funmoods.dskBnd (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\funmoodsApp.appCore.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\funmoodsApp.appCore (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\f (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Daten: Funmoods Toolbar -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Daten:  -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\UBCD4Win\BartPE\PROGRAMS\PassPro\PasswordsPro.exe (PUP.PasswordsPro) -> Keine Aktion durchgeführt.
C:\Users\Wolff\Downloads\SoftonicDownloader_fuer_heyers-karten-studio.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\Users\Wolff\AppData\Local\axcan.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{6fb6a766-c028-5348-1292-7cf284d41c0a}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
MALWARE2

Code:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.19.01

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
Wolff :: WOLFF-PC [Administrator]

Schutz: Aktiviert

19.07.2012 07:28:53
mbam-log-2012-07-19 (07-28-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 394324
Laufzeit: 1 Stunde(n), 54 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 24
HKCR\CLSID\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCR\funmoods.funmoodsHlpr.1 (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCR\funmoods.funmoodsHlpr (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Keine Aktion durchgeführt.
HKCR\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\escort.escortIEPane.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\escort.escortIEPane (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\CLSID\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\funmoods.dskBnd.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\funmoods.dskBnd (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\funmoodsApp.appCore.1 (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\funmoodsApp.appCore (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\f (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\Typelib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKCR\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191} (PUP.Funmoods) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Daten: Funmoods Toolbar -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Daten:  -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\UBCD4Win\BartPE\PROGRAMS\PassPro\PasswordsPro.exe (PUP.PasswordsPro) -> Keine Aktion durchgeführt.
C:\Users\Wolff\Downloads\SoftonicDownloader_fuer_heyers-karten-studio.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\Users\Wolff\AppData\Local\funmoods.crx (PUP.Funmoods) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{6fb6a766-c028-5348-1292-7cf284d41c0a}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Lieben Dank im Voraus
Wolff

markusg 20.07.2012 19:13
hi,
wenn du onlinebanking mit dem pc betreibst, rufe die bank an, lasse es sperren.
du musst am ende alle passwörter endern.
da du das zero access rootkit hast, welches nicht 100 %ig sicher zu entfernen ist:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

HH1887 23.07.2012 09:45
Hallo Markus,

lieben Dank für die Antwort.

Ich habe alles soweit befolgt und Vista64 neu aufgespielt. Es wird nichts mehr gefunden.

Bzgl der Absicherungen:
* Ich nehme an, dass dieses auf beiden Konten ( admin und User)
durchgeführt werden soll?
* Was meinst Du mit "zurückspielen" ?

Bzgl. Online-Banking:
* Ich habe den Zugang sperren lassen und werde neue Zugangsdaten
erhalten. Im gleichen Zug hatte ich nach Card-reader Lösungen gefragt,
aber dieses scheint bei meiner Bank lediglich für Geschäftskonten möglich
zu sein. Starmoney nutze ich ebenfalls nicht, sondern gehe über die
Webpage des Instituts.

LG
Wolff


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19