Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12 (https://www.trojaner-board.de/123324-pum-disabled-securitycenter-rogue-livesecurityplatinum-trojan-lameshield-spyware-password-02-09-12-a.html)

whatshisname 02.09.2012 16:54
PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12
 
Hi,

habe mir unter anderem den "Live Security Platinum"-Trojaner eingefangen, der wie ich festgestellt habe, einigen anderen auch Probleme bereitet.
Habe gelesen, dass es für diesen Trojaner noch keine Universallösung gibt, daher nehme ich an, dass mir andere Forenbeiträge nicht wirklich weiterhelfen können. whatever...

Bin den Anweisungen von Trojaner-board (http://www.trojaner-board.de/51187-a...i-malware.html) bereits soweit gefolgt, dass ich nun die log-files posten soll. (S***** mein Name unkenntlich)

Diese Programme hat Malwarebytes gefunden:
PUM.Disabled.SecurityCenter
Rogue.LiveSecurityPlatinum
Trojan.LameShield
Spyware.Password (vor einigen Wochen hatte jemand versucht, mein gmx-Account zu hacken...)

Die Schädlinge wurden wohl nun in Quarantäne geschoben. Was kommt als nächstes?

Code:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.02.03

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
S****** :: S****A-PC [Administrator]

Schutz: Deaktiviert

02.09.2012 17:04:03
mbam-log-2012-09-02 (17-04-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211740
Laufzeit: 5 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|txshv (Spyware.Password) -> Daten: rundll32.exe "C:\Users\S*******\AppData\Roaming\txshv.dll",ResetCounter -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|txshv (Spyware.Password) -> Daten: rundll32.exe "C:\Users\S*****\AppData\Roaming\txshv.dll",ResetCounter -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|6F638C1A030536BBEA6310DBF875F020 (Trojan.LameShield) -> Daten: C:\ProgramData\6F638C1A030536BBEA6310DBF875F020\6F638C1A030536BBEA6310DBF875F020.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Users\S****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\Users\S*****\AppData\Roaming\txshv.dll (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\6F638C1A030536BBEA6310DBF875F020\6F638C1A030536BBEA6310DBF875F020.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\S******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Weitere Infos nötig?

Einige scheine ich mir schon vorher eingefangen zu haben.
Bisher habe ich Avira genutzt, aber der Krug ist nun lange genug zum Brunnen gegangen. Wenn mein Laptop das heil übersteht, kommt ein ordentliches Antivirenprogramm drauf. :balla:

Wenn mir jemand weiterhelfen kann (gerne auch mit Verweis auf andere Forenbeiträge), wäre ich unheimlich dankbar.

Viele Grüße

cosinus 03.09.2012 22:15
Zitat:
(S***** mein Name unkenntlich)
Es ist völlig unnötig Vornamen unkenntlich zu machen. Das erschwert und allen nur die Arbeit und v.a. musst du wieder beim Fixen mit OTL und so aufpassen! Mach daher nur Infos unkenntlich, die wirklich privat sind!

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

whatshisname 04.09.2012 14:08
Danke zunächst einmal für die Antwort, cosinus!

Habe zwar gelesen, dass Quickscan grundsätzlich ausreicht, aber dann mache ich das noch einmal vollständig.

Nur noch eine Frage: Das ganze im Abgesicherten Modus?
Beim ersten Mal habe ich das so gemacht, da es ja nicht anders ging.
Mittlerweile läuft der Laptop zwar wieder, aber aus der Welt ist die Geschichte ja noch nicht :/

cosinus 04.09.2012 16:30
Wenn es geht im normalen Modus, ansonsten abgesicherten Modus mit Netzwerktreibern! Ohne Netzwerk kannst du die Signaturen nicht updaten!

whatshisname 30.09.2012 18:51
Sooooooo.
Habe es nun doch endlich noch einmal geschafft, das Ganze durchzuziehen.
Nachdem die Übeltäter erst einmal in der Quarantäne waren und der Laptop lief, hatte ich einen Grund das aufzuschieben.
What ever...

in chronologischer Reihenfolge:
Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 2. September 2012  11:54

Es wird nach 4204350 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : SASCHA-PC

Versionsinformationen:
BUILD.DAT      : 10.2.0.707    36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE    : 10.3.0.7      484008 Bytes  01.07.2011 14:35:58
AVSCAN.DLL    : 10.0.5.0      57192 Bytes  01.07.2011 14:35:57
LUKE.DLL      : 10.3.0.5      45416 Bytes  01.07.2011 14:36:12
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 09:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  01.07.2011 14:36:13
AVREG.DLL      : 10.3.0.9      88833 Bytes  14.07.2011 11:34:39
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 07:05:36
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 11:24:10
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 22:35:31
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 11:55:21
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 08:59:43
VBASE005.VDF  : 7.11.34.116  4034048 Bytes  29.06.2012 15:10:53
VBASE006.VDF  : 7.11.34.117    2048 Bytes  29.06.2012 15:10:54
VBASE007.VDF  : 7.11.34.118    2048 Bytes  29.06.2012 15:10:54
VBASE008.VDF  : 7.11.34.119    2048 Bytes  29.06.2012 15:10:54
VBASE009.VDF  : 7.11.34.120    2048 Bytes  29.06.2012 15:10:54
VBASE010.VDF  : 7.11.34.121    2048 Bytes  29.06.2012 15:10:54
VBASE011.VDF  : 7.11.34.122    2048 Bytes  29.06.2012 15:10:54
VBASE012.VDF  : 7.11.34.123    2048 Bytes  29.06.2012 15:10:54
VBASE013.VDF  : 7.11.34.124    2048 Bytes  29.06.2012 15:10:54
VBASE014.VDF  : 7.11.38.18  2554880 Bytes  30.07.2012 08:54:02
VBASE015.VDF  : 7.11.38.70    556032 Bytes  31.07.2012 08:54:03
VBASE016.VDF  : 7.11.38.143  171008 Bytes  02.08.2012 08:54:03
VBASE017.VDF  : 7.11.38.221  178176 Bytes  06.08.2012 17:42:22
VBASE018.VDF  : 7.11.39.37    168448 Bytes  08.08.2012 14:56:40
VBASE019.VDF  : 7.11.39.89    131072 Bytes  09.08.2012 14:56:40
VBASE020.VDF  : 7.11.39.145  142336 Bytes  11.08.2012 14:56:41
VBASE021.VDF  : 7.11.39.207  165888 Bytes  14.08.2012 17:45:40
VBASE022.VDF  : 7.11.40.9    156160 Bytes  16.08.2012 19:21:38
VBASE023.VDF  : 7.11.40.49    133120 Bytes  17.08.2012 19:21:38
VBASE024.VDF  : 7.11.40.95    156160 Bytes  20.08.2012 04:41:48
VBASE025.VDF  : 7.11.40.155  181760 Bytes  22.08.2012 04:41:48
VBASE026.VDF  : 7.11.40.205  203264 Bytes  23.08.2012 04:41:49
VBASE027.VDF  : 7.11.41.29    188416 Bytes  27.08.2012 05:19:54
VBASE028.VDF  : 7.11.41.87    250368 Bytes  30.08.2012 05:19:55
VBASE029.VDF  : 7.11.41.88      2048 Bytes  30.08.2012 05:19:55
VBASE030.VDF  : 7.11.41.89      2048 Bytes  30.08.2012 05:19:55
VBASE031.VDF  : 7.11.41.132  201216 Bytes  01.09.2012 08:32:47
Engineversion  : 8.2.10.150
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 16:39:09
AESCRIPT.DLL  : 8.1.4.46      455034 Bytes  31.08.2012 05:20:02
AESCN.DLL      : 8.1.8.2      131444 Bytes  27.01.2012 12:34:16
AESBX.DLL      : 8.2.5.12      606578 Bytes  18.06.2012 08:10:25
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 10:37:51
AEPACK.DLL    : 8.3.0.32      811382 Bytes  31.08.2012 05:20:02
AEOFFICE.DLL  : 8.1.2.42      201083 Bytes  20.07.2012 08:38:42
AEHEUR.DLL    : 8.1.4.94    5230967 Bytes  31.08.2012 05:20:01
AEHELP.DLL    : 8.1.23.2      258422 Bytes  29.06.2012 15:10:57
AEGEN.DLL      : 8.1.5.36      434549 Bytes  31.08.2012 05:19:56
AEEXP.DLL      : 8.1.0.84      90485 Bytes  31.08.2012 05:20:02
AEEMU.DLL      : 8.1.3.2      393587 Bytes  11.07.2012 16:39:08
AECORE.DLL    : 8.1.27.4      201078 Bytes  07.08.2012 17:42:23
AEBB.DLL      : 8.1.1.0        53618 Bytes  23.04.2010 16:42:01
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL    : 10.0.3.2      44904 Bytes  01.07.2011 14:35:57
AVREP.DLL      : 10.0.0.10    174120 Bytes  17.05.2011 13:29:11
AVARKT.DLL    : 10.0.26.1    255336 Bytes  01.07.2011 14:35:54
AVEVTLOG.DLL  : 10.0.0.9      203112 Bytes  01.07.2011 14:35:55
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  01.07.2011 14:35:47
RCTEXT.DLL    : 10.0.64.0      98664 Bytes  01.07.2011 14:35:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 2. September 2012  11:54

Der Suchlauf nach versteckten Objekten wird begonnen.
Fehler in der ARK Library

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avcenter.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'vlc.exe' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'facemoodssrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetIM.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '177' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPGService.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'dgnsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '573' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Sascha\AppData\Local\Temp\jar_cache3895306313695214389.tmp
  [0] Archivtyp: ZIP
  --> rAla/rAlc.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2008-5353.DQ
  --> rAla/rAla.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2008-5353.DS
  --> rAla/rAld.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.EI
  --> rAla/rAlb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.DI
C:\Users\Sascha\AppData\Local\Temp\jar_cache40565596456237142.tmp
  [0] Archivtyp: ZIP
  --> ha/ha.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CW
  --> ha/hb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CX
  --> ha/hc.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karamel.B
  --> ha/hd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CY
C:\Users\Sascha\AppData\Local\Temp\omewsxracn.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'F:\' <Saschas Platte>
F:\E-Books\DVD\DVD s kopieren (Anleitung & Programme für CSS geschützte 1 zu 1 kopieren).rar
  [0] Archivtyp: RAR
  --> Clone DVD.rar
      [1] Archivtyp: RAR
    --> cr-cdv13.exe
        [FUND]      Ist das Trojanische Pferd TR/Agent.117936.A

Beginne mit der Desinfektion:
F:\E-Books\DVD\DVD s kopieren (Anleitung & Programme für CSS geschützte 1 zu 1 kopieren).rar
  [FUND]      Ist das Trojanische Pferd TR/Agent.117936.A
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '565df06d.qua' verschoben!
C:\Users\Sascha\AppData\Local\Temp\omewsxracn.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ee5de31.qua' verschoben!
C:\Users\Sascha\AppData\Local\Temp\jar_cache40565596456237142.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CY
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1ca784d5.qua' verschoben!
C:\Users\Sascha\AppData\Local\Temp\jar_cache3895306313695214389.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.DI
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7a90cb17.qua' verschoben!


Ende des Suchlaufs: Sonntag, 2. September 2012  15:26
Benötigte Zeit:  3:20:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  32694 Verzeichnisse wurden überprüft
 1504279 Dateien wurden geprüft
    10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1504269 Dateien ohne Befall
  8775 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise
 714130 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
Code:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.02.03

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
Sascha :: SASCHA-PC [Administrator]

Schutz: Deaktiviert

02.09.2012 17:04:03
mbam-log-2012-09-02 (17-04-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211740
Laufzeit: 5 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|txshv (Spyware.Password) -> Daten: rundll32.exe "C:\Users\Sascha\AppData\Roaming\txshv.dll",ResetCounter -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|txshv (Spyware.Password) -> Daten: rundll32.exe "C:\Users\Sascha\AppData\Roaming\txshv.dll",ResetCounter -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|6F638C1A030536BBEA6310DBF875F020 (Trojan.LameShield) -> Daten: C:\ProgramData\6F638C1A030536BBEA6310DBF875F020\6F638C1A030536BBEA6310DBF875F020.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Users\Sascha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\Users\Sascha\AppData\Roaming\txshv.dll (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\6F638C1A030536BBEA6310DBF875F020\6F638C1A030536BBEA6310DBF875F020.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sascha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Code:
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.29.01

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Sascha :: SASCHA-PC [Administrator]

29.09.2012 11:02:59
mbam-log-2012-09-29 (11-02-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 411849
Laufzeit: 1 Stunde(n), 49 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
        ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=23a0d0f8bd70224f959bd88e5a49c15d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-09-29 05:39:03
# local_time=2012-09-29 07:39:03 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 22471 85471661 7467 0
# compatibility_mode=4096 16777215 100 0 77179327 77179327 0 0
# compatibility_mode=5893 16776574 100 94 1634090 100562396 0 0
# compatibility_mode=8192 67108863 100 0 415 415 0 0
# scanned=211380
# found=1
# cleaned=0
# scan_time=9138
C:\Program Files\Image-Line\FL Studio 8\Plugins\Fruity\Generators\Toxic Biohazard\Toxic Biohazard.dll        probably a variant of Win32/Delf.LQXDKYX trojan (unable to clean)        00000000000000000000000000000000        I
Vielen Dank nochmals im Voraus!

cosinus 01.10.2012 13:03
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131