Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mehrere Trojaner (bublik.I.9 und 10, PWS.Zbot, Ransom.Blocker) von Avira entdeckt! (https://www.trojaner-board.de/134848-mehrere-trojaner-bublik-i-9-10-pws-zbot-ransom-blocker-avira-entdeckt.html)

wendy_5678 12.05.2013 21:26
Mehrere Trojaner (bublik.I.9 und 10, PWS.Zbot, Ransom.Blocker) von Avira entdeckt!
 
Hallo,

die Trojaner

TR/PSW.Zbot.57344.217,
TR/Bublik.I.10,
TR/Bublik.I.9 und
TR/Ransom.Blocker.bdza

wurden von Avira beim System-Scan entdeckt. Sie wurden in Quarantäne verschoben. Außerdem habe ich seit einigen Tagen die Startseite snap.do als Startseite meiner Browser, Firefox ließ sich mehrmals nicht öffnen und Chrome arbeitet enorm langsam.

defogger meldete nichts, die logfiles aus OTL sind anghängt. gmer stürzt nach etwa einer Minute ab! Daher auch keine entsprechende logfile.

Ich hoffe sehr, dass ihr mir helfen könnt.
Vielen lieben Dank schonmal vorweg!

Gruß,
Wendy

cosinus 12.05.2013 21:32
Hallo und :hallo:

Zitat:
64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Warum hast du eine Ultimate-Edition von Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?


Zitat:
die Trojaner

TR/PSW.Zbot.57344.217,
TR/Bublik.I.10,
TR/Bublik.I.9 und
TR/Ransom.Blocker.bdza
Schön und wo sind die Logs dazu? Mit solchen unkonkreten Angaben kann dir niemand helfen! :glaskugel:

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner siehe http://www.trojaner-board.de/125889-...tml#post941520


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

wendy_5678 12.05.2013 21:34
Entschuldige, den Avira-Log hatte ich einfach vergessen!

Ist ein Privatrechner, das mit Ulitmate ist ne längere Geschichte :)


Code:




Avira Free Antivirus
Erstellungsdatum der Reportdatei: 11 Mai 2013  23:54


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Ultimate
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : Wendy
Computername  : WENDYSHNITOMAT

Versionsinformationen:
BUILD.DAT      : 13.0.0.3640    54852 Bytes  18/04/2013 13:29:00
AVSCAN.EXE    : 13.6.0.1262  636984 Bytes  06/05/2013 10:09:37
AVSCANRC.DLL  : 13.4.0.360    64800 Bytes  05/03/2013 18:30:15
LUKE.DLL      : 13.6.0.1262    65080 Bytes  06/05/2013 10:09:45
AVSCPLR.DLL    : 13.6.0.1262    92216 Bytes  06/05/2013 10:09:37
AVREG.DLL      : 13.6.0.1262  247864 Bytes  06/05/2013 10:09:37
avlode.dll    : 13.6.2.1262  432184 Bytes  06/05/2013 10:09:36
avlode.rdf    : 13.0.0.46      15591 Bytes  10/04/2013 04:03:19
VBASE000.VDF  : 7.11.70.0  66736640 Bytes  04/04/2013 04:02:59
VBASE001.VDF  : 7.11.74.226  2201600 Bytes  30/04/2013 16:13:17
VBASE002.VDF  : 7.11.74.227    2048 Bytes  30/04/2013 16:13:17
VBASE003.VDF  : 7.11.74.228    2048 Bytes  30/04/2013 16:13:17
VBASE004.VDF  : 7.11.74.229    2048 Bytes  30/04/2013 16:13:17
VBASE005.VDF  : 7.11.74.230    2048 Bytes  30/04/2013 16:13:17
VBASE006.VDF  : 7.11.74.231    2048 Bytes  30/04/2013 16:13:17
VBASE007.VDF  : 7.11.74.232    2048 Bytes  30/04/2013 16:13:17
VBASE008.VDF  : 7.11.74.233    2048 Bytes  30/04/2013 16:13:17
VBASE009.VDF  : 7.11.74.234    2048 Bytes  30/04/2013 16:13:17
VBASE010.VDF  : 7.11.74.235    2048 Bytes  30/04/2013 16:13:17
VBASE011.VDF  : 7.11.74.236    2048 Bytes  30/04/2013 16:13:18
VBASE012.VDF  : 7.11.74.237    2048 Bytes  30/04/2013 16:13:18
VBASE013.VDF  : 7.11.74.238    2048 Bytes  30/04/2013 16:13:18
VBASE014.VDF  : 7.11.75.97    181248 Bytes  02/05/2013 06:48:07
VBASE015.VDF  : 7.11.75.183  217600 Bytes  03/05/2013 13:03:40
VBASE016.VDF  : 7.11.76.27    183808 Bytes  04/05/2013 19:53:11
VBASE017.VDF  : 7.11.76.101  194048 Bytes  06/05/2013 22:09:38
VBASE018.VDF  : 7.11.76.213  163328 Bytes  07/05/2013 07:32:24
VBASE019.VDF  : 7.11.77.41    134656 Bytes  08/05/2013 10:05:14
VBASE020.VDF  : 7.11.77.145  141312 Bytes  10/05/2013 10:12:51
VBASE021.VDF  : 7.11.77.146    2048 Bytes  10/05/2013 10:12:51
VBASE022.VDF  : 7.11.77.147    2048 Bytes  10/05/2013 10:12:51
VBASE023.VDF  : 7.11.77.148    2048 Bytes  10/05/2013 10:12:51
VBASE024.VDF  : 7.11.77.149    2048 Bytes  10/05/2013 10:12:51
VBASE025.VDF  : 7.11.77.150    2048 Bytes  10/05/2013 10:12:51
VBASE026.VDF  : 7.11.77.151    2048 Bytes  10/05/2013 10:12:51
VBASE027.VDF  : 7.11.77.152    2048 Bytes  10/05/2013 10:12:52
VBASE028.VDF  : 7.11.77.153    2048 Bytes  10/05/2013 10:12:52
VBASE029.VDF  : 7.11.77.154    2048 Bytes  10/05/2013 10:12:52
VBASE030.VDF  : 7.11.77.155    2048 Bytes  10/05/2013 10:12:52
VBASE031.VDF  : 7.11.77.220  112128 Bytes  11/05/2013 16:16:34
Engineversion  : 8.2.12.40
AEVDF.DLL      : 8.1.2.10      102772 Bytes  05/03/2013 18:30:00
AESCRIPT.DLL  : 8.1.4.114    483709 Bytes  10/05/2013 10:12:54
AESCN.DLL      : 8.1.10.4      131446 Bytes  10/04/2013 04:03:04
AESBX.DLL      : 8.2.5.12      606578 Bytes  05/03/2013 18:30:00
AERDL.DLL      : 8.2.0.88      643444 Bytes  05/03/2013 18:29:59
AEPACK.DLL    : 8.3.2.12      754040 Bytes  09/05/2013 10:05:17
AEOFFICE.DLL  : 8.1.2.56      205180 Bytes  10/04/2013 04:03:04
AEHEUR.DLL    : 8.1.4.354    5898617 Bytes  10/05/2013 10:12:54
AEHELP.DLL    : 8.1.25.10    258425 Bytes  09/05/2013 10:05:15
AEGEN.DLL      : 8.1.7.4      442741 Bytes  09/05/2013 10:05:15
AEEXP.DLL      : 8.4.0.28      201078 Bytes  10/05/2013 10:12:54
AEEMU.DLL      : 8.1.3.2      393587 Bytes  05/03/2013 18:29:55
AECORE.DLL    : 8.1.31.2      201080 Bytes  05/03/2013 18:29:55
AEBB.DLL      : 8.1.1.4        53619 Bytes  05/03/2013 18:29:55
AVWINLL.DLL    : 13.6.0.480    26480 Bytes  05/03/2013 18:28:24
AVPREF.DLL    : 13.6.0.480    51056 Bytes  05/03/2013 18:30:14
AVREP.DLL      : 13.6.0.480    178544 Bytes  05/03/2013 18:30:48
AVARKT.DLL    : 13.6.0.1262  258104 Bytes  06/05/2013 10:09:34
AVEVTLOG.DLL  : 13.6.0.1262  164920 Bytes  06/05/2013 10:09:36
SQLITE3.DLL    : 3.7.0.1      397704 Bytes  05/03/2013 18:30:39
AVSMTP.DLL    : 13.6.0.480    62832 Bytes  05/03/2013 18:30:16
NETNT.DLL      : 13.6.0.480    16240 Bytes  05/03/2013 18:30:33
RCIMAGE.DLL    : 13.4.0.360  4780832 Bytes  05/03/2013 18:28:27
RCTEXT.DLL    : 13.6.0.976    69344 Bytes  10/04/2013 04:02:02

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, I:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: 11 Mai 2013  23:54

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'I:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvxdsync.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'srvany.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'KMService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'lypa.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDWriterAutoStart.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqSTE08.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_7_700_169.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_7_700_169.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '125' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '113' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2858' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Wendy\AppData\Local\Temp\tmp7d4084b7\14.exe
  [FUND]      Ist das Trojanische Pferd TR/PSW.Zbot.57344.217
C:\Users\Wendy\AppData\Local\Temp\tmpba3d2609\89.exe
  [FUND]      Ist das Trojanische Pferd TR/Bublik.I.10
C:\Users\Wendy\AppData\Local\Temp\tmpcac6ee6e\13.exe
  [FUND]      Ist das Trojanische Pferd TR/Bublik.I.9
C:\Users\Wendy\AppData\Local\Temp\tmped0670cc\23.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.Blocker.bdza
    [0] Archivtyp: RSRC
    --> C:\Users\Wendy\AppData\Roaming\Dropbox\bin\Dropbox.exe
        [1] Archivtyp: RSRC
      --> C:\Program Files (x86)\Adobe\Adobe Flash Builder 4.6\sdks\4.6.0\install\android\usb_drivers\amd64\winusbcoinstaller2.dll
          [2] Archivtyp: RSRC
        --> C:\Program Files (x86)\Adobe\Adobe Flash Builder 4.6\sdks\4.6.0\install\android\usb_drivers\amd64\WUDFUpdate_01009.dll
            [3] Archivtyp: RSRC
          --> C:\Program Files (x86)\Adobe\Adobe Flash Builder 4.6\sdks\4.6.0\install\android\usb_drivers\i386\winusbcoinstaller2.dll
              [4] Archivtyp: RSRC
            --> C:\Program Files (x86)\Adobe\Adobe Flash Builder 4.6\sdks\4.6.0\install\android\usb_drivers\i386\WUDFUpdate_01009.dll
                [5] Archivtyp: RSRC
              --> C:\Program Files (x86)\Adobe\Adobe Flash Builder 4.6\utilities\drivers\android\amd64\winusbcoinstaller2.dll
                  [6] Archivtyp: RSRC
                --> C:\Program Files (x86)\Adobe\Adobe Flash Builder 4.6\utilities\drivers\android\amd64\WUDFUpdate_01009.dll
                    [7] Archivtyp: RSRC
                  --> C:\Program Files (x86)\Adobe\Adobe Flash Builder 4.6\utilities\drivers\android\i386\winusbcoinstaller2.dll
                      [8] Archivtyp: RSRC
                    --> C:\Program Files (x86)\Adobe\Adobe Flash Builder 4.6\utilities\drivers\android\i386\WUDFUpdate_01009.dll
                        [9] Archivtyp: RSRC
                      --> C:\Program Files (x86)\Adobe\Adobe Flash CS6\AIR3.2\install\android\usb_drivers\amd64\winusbcoinstaller2.dll
                          [10] Archivtyp: RSRC
                        --> C:\Program Files (x86)\Adobe\Adobe Flash CS6\AIR3.2\install\android\usb_drivers\amd64\WUDFUpdate_01009.dll
                            [11] Archivtyp: RSRC
                          --> C:\Program Files (x86)\Adobe\Adobe Flash CS6\AIR3.2\install\android\usb_drivers\i386\winusbcoinstaller2.dll
                              [12] Archivtyp: RSRC
                            --> C:\Program Files (x86)\Adobe\Adobe Flash CS6\AIR3.2\install\android\usb_drivers\i386\WUDFUpdate_01009.dll
                                [13] Archivtyp: RSRC
                              --> C:\Users\Wendy\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe
                                  [14] Archivtyp: Runtime Packed
                                --> C:\Users\Wendy\AppData\Local\Temp\jre-7u21-windows-i586-iftw.exe
                                    [15] Archivtyp: Runtime Packed
                                  --> C:\Users\Wendy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\2f61495d-6c281b23
                                      [16] Archivtyp: ZIP
                                    --> a.class
                                        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jyi.40
                                        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
                                    --> Code$SystemClass.class
                                        [FUND]      Enthält Erkennungsmuster des Exploits EXP/Java.HLP.FW
                                        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
                                    --> Code.class
                                        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jyi.41
                                        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
                                    --> picture.class
                                        [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jyi.42
                                        [WARNUNG]  Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\Wendy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\2f61495d-6c281b23
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jyi.42
Beginne mit der Suche in 'D:\'
                                  --> C:\Users\Wendy\AppData\Roaming\Dropbox\bin\Dropbox.exe
                                      [16] Archivtyp: RSRC
                                    --> C:\Users\Wendy\Desktop\CS6\CS6 Master Collection\Adobe CS6\payloads\AdobeFlash12.0-mul\Assets1_1.zip
                                        [17] Archivtyp: ZIP
                                      --> _205_246900ce6474718730ecd4f873234cf5
                                          [18] Archivtyp: RSRC
                                        --> _206_ebf9ee8a7671f3b260ed9b08fcee0cc5
                                            [19] Archivtyp: RSRC
                                          --> _208_8e7b9f81e8823fee2d82f7de3a44300b
                                              [20] Archivtyp: RSRC
                                            --> C:\Users\Wendy\Desktop\CS6\CS6 Master Collection\Adobe CS6\payloads\AdobeFlashBuilder-mul\Assets1_1.zip
                                                [21] Archivtyp: ZIP
                                              --> _12803_246900ce6474718730ecd4f873234cf5
                                                  [22] Archivtyp: RSRC
                                                --> _12804_ebf9ee8a7671f3b260ed9b08fcee0cc5
                                                    [23] Archivtyp: RSRC
                                                  --> _12806_8e7b9f81e8823fee2d82f7de3a44300b
                                                      [24] Archivtyp: RSRC
                                                    --> _12807_e1bbe9e3568cf54598e9a8d23697b67e
                                                        [25] Archivtyp: RSRC
                                                      --> _14007_246900ce6474718730ecd4f873234cf5
                                                          [26] Archivtyp: RSRC
                                                        --> _14008_ebf9ee8a7671f3b260ed9b08fcee0cc5
                                                            [27] Archivtyp: RSRC
                                                          --> _14010_8e7b9f81e8823fee2d82f7de3a44300b
                                                              [28] Archivtyp: RSRC
                                                            --> C:\Users\Wendy\Downloads\Dropbox 2.0.5.exe
                                                                [29] Archivtyp: NSIS
                                                              --> D:\WENDYSHNITOMAT\Backup Set 2013-04-17 154225\Backup Files 2013-04-17 154225\Backup files 1.zip
                                                                  [30] Archivtyp: ZIP
                                                                --> D:\WENDYSHNITOMAT\Backup Set 2013-04-17 154225\Backup Files 2013-04-17 154225\Backup files 4.zip
                                                                    [31] Archivtyp: ZIP
                                                                  --> D:\WENDYSHNITOMAT\Backup Set 2013-04-17 154225\Backup Files 2013-04-22 085534\Backup files 4.zip
                                                                      [32] Archivtyp: ZIP
                                                                    --> C/Users/Wendy/Downloads/DJ_AIO_NonNet_Full_Win_WW_130_140.exe
                                                                        [WARNUNG]  Die Datei konnte nicht gelesen werden!
D:\WENDYSHNITOMAT\Backup Set 2013-04-17 154225\Backup Files 2013-04-22 085534\Backup files 4.zip
  [WARNUNG]  Die Datei konnte nicht gelesen werden!
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'I:\' <Elements>

Beginne mit der Desinfektion:
C:\Users\Wendy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\2f61495d-6c281b23
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.jyi.42
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5997f7fc.qua' verschoben!
C:\Users\Wendy\AppData\Local\Temp\tmped0670cc\23.exe
  [FUND]      Ist das Trojanische Pferd TR/Ransom.Blocker.bdza
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4178d888.qua' verschoben!
C:\Users\Wendy\AppData\Local\Temp\tmpcac6ee6e\13.exe
  [FUND]      Ist das Trojanische Pferd TR/Bublik.I.9
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '13278260.qua' verschoben!
C:\Users\Wendy\AppData\Local\Temp\tmpba3d2609\89.exe
  [FUND]      Ist das Trojanische Pferd TR/Bublik.I.10
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7510cda4.qua' verschoben!
C:\Users\Wendy\AppData\Local\Temp\tmp7d4084b7\14.exe
  [FUND]      Ist das Trojanische Pferd TR/PSW.Zbot.57344.217
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3094e09d.qua' verschoben!


Ende des Suchlaufs: 12 Mai 2013  10:39
Benötigte Zeit: 10:16:30 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  37652 Verzeichnisse wurden überprüft
 2488476 Dateien wurden geprüft
      9 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      5 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 2488467 Dateien ohne Befall
  38356 Archive wurden durchsucht
      5 Warnungen
      5 Hinweise

cosinus 12.05.2013 21:38
Zitat:
Ist ein Privatrechner, das mit Ulitmate ist ne längere Geschichte
Kannst du das in 2-3 Sätzen kurz erläutern? Dass es ne längere Geschichte ist, damit geb ich mich allein nicht zufrieden.

wendy_5678 12.05.2013 21:40
Ich nutze einen Firmenrechner von meinem Dad, den er mir zur Verfügung gestellt.

cosinus 12.05.2013 21:52
Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.

Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

wendy_5678 12.05.2013 21:58
Ist aber ein Privatrechner, mein Vater hat ihn für die Firma gekauft aber dort nie benutzt, das kann ich versichern!

cosinus 12.05.2013 22:01
Ok, diesen Rechner werden wir aber trotzdem nicht mehr bereinigen. Ich bin nämlich in deinem OTL-Log auf folgendes gestoßen:

Code:
PRC - [2010/10/02 19:39:06 | 000,151,552 | RHS- | M] () -- C:\Windows\kmsem\KMService.exe
KMService.exe ist ein sicheres Indiz dafür, dass du eine gecrackte MS-Office-Installation auf diesem System hast. :pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

wendy_5678 12.05.2013 22:06
Das ist ja Mist, ich hab das nicht einmal gewusst, und bekomme jetzt hier keine Hilfe. Ich kanns zwar nachvollziehen, trotzdem schade! Kannst du mir vllt eine andere Seite nenn, die mir hilft, oder irgendeinen Tipp geben, bin ziemlich verzweifelt! Danke!

cosinus 12.05.2013 22:11
Sry, so sind hier die Spielregeln. Wenn wir das schon am Anfang finden, wars das mit der Reinigung.
Ob du davon wusstest oder nicht spielt hier keine Rolle, jeder Hilfesuchende kann behaupten er wusste das nicht.
Ich weiß nicht wer dir dieses faule Ei ins Nest gelegt hat, aber falls dein Vater so einen Dreck illegal auf Firmenrechner verwendet, kann das iwann in eine bösen Überraschung enden. Zudem nimmt man fahrlässig einen kompromittierten Rechner in Kauf, da illegale Cracks/Keygens häufig verseucht sind.

Hilfe kann ich dir noch bei der Datensicherung und Neuinstallation des Betriebssystems anbieten. Betriebssystem kann auch Linux sein wenn du magst.

wendy_5678 12.05.2013 22:18
Nee, ich werd mich an jmd andres wenden! Danke auf jeden Fall für deine Antworten! Kann geclosed werden!

cosinus 12.05.2013 22:33
Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipiell so aber fast genauso mit allen anderen Live-Systemen auch.
  1. Lade Dir ISO-Image von PartedMagic
  2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
  3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist
  4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
  5. Mounte die Partitionen wo Windows installiert ist, meistens ist das /dev/sda1 bzw. /dev/sda2 bei Win7 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du
    bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
  6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
  7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19