|
Avira fand etwas was ich nicht gelöscht hab <.< Hi, heute fand mein Avira ein Virus( unter system/drivers/[kann den namen eintragen wenn es nützt]). Aber ich war so dämlich und hab zu spät auf "Entfernen" geklickt. Also erst als das popup in der ecke verschwand. Hier mein Logfile. Hoffe ihr könnt mir irgendwie helfen. Hoff es klappt wenn ich es manuel im Laufwerk lösche. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Poste bitte das AntiVir Logfile. Wenn das nicht mehr da ist reicht auch also erster Anhaltspunkt der Dateiname der virulenten Datei in system32\drivers. |
HI, hab mit Avira das gefunden und der hat das angeblich gelöscht. Aber ich weiß nicht ob ich dem ganzen trauen kann. Hoffe das ist das Avira Logfile. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 12. Mai 2010 18:10 Es wird nach 2113415 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : ****** Computername : ****** Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 12.05.2010 15:53:13 AVSCAN.DLL : 10.0.3.0 56168 Bytes 12.05.2010 15:53:13 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 15:53:12 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 15:53:12 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 15:53:12 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 15:53:12 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 15:53:12 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 15:53:12 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 15:53:12 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 15:53:12 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 15:53:12 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:53:12 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 15:53:12 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 15:53:12 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 15:53:12 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 15:53:12 VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 15:53:12 VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 15:53:12 VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 15:53:12 VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 15:53:12 VBASE023.VDF : 7.10.7.76 2048 Bytes 10.05.2010 15:53:12 VBASE024.VDF : 7.10.7.77 2048 Bytes 10.05.2010 15:53:12 VBASE025.VDF : 7.10.7.78 2048 Bytes 10.05.2010 15:53:12 VBASE026.VDF : 7.10.7.79 2048 Bytes 10.05.2010 15:53:12 VBASE027.VDF : 7.10.7.80 2048 Bytes 10.05.2010 15:53:12 VBASE028.VDF : 7.10.7.81 2048 Bytes 10.05.2010 15:53:12 VBASE029.VDF : 7.10.7.82 2048 Bytes 10.05.2010 15:53:12 VBASE030.VDF : 7.10.7.83 2048 Bytes 10.05.2010 15:53:12 VBASE031.VDF : 7.10.7.95 109056 Bytes 12.05.2010 15:53:12 Engineversion : 8.2.1.236 AEVDF.DLL : 8.1.2.0 106868 Bytes 12.05.2010 15:53:13 AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 12.05.2010 15:53:13 AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 16:38:41 AESBX.DLL : 8.1.3.1 254324 Bytes 12.05.2010 15:53:13 AERDL.DLL : 8.1.4.6 541043 Bytes 12.05.2010 15:53:13 AEPACK.DLL : 8.2.1.1 426358 Bytes 29.03.2010 10:08:16 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 09:09:46 AEHEUR.DLL : 8.1.1.27 2670967 Bytes 12.05.2010 15:53:13 AEHELP.DLL : 8.1.11.3 242039 Bytes 05.04.2010 14:48:29 AEGEN.DLL : 8.1.3.7 373106 Bytes 12.05.2010 15:53:13 AEEMU.DLL : 8.1.2.0 393588 Bytes 12.05.2010 15:53:12 AECORE.DLL : 8.1.15.1 192886 Bytes 12.05.2010 15:53:12 AEBB.DLL : 8.1.1.0 53618 Bytes 12.05.2010 15:53:12 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 12.05.2010 15:53:13 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 12.05.2010 15:53:13 AVARKT.DLL : 10.0.0.14 227176 Bytes 12.05.2010 15:53:13 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 12.05.2010 15:53:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: ShlExt Konfigurationsdatei...................: C:\DOKUME~1\Binayet\LOKALE~1\Temp\d50dbb52.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +JOKE, Beginn des Suchlaufs: Mittwoch, 12. Mai 2010 18:10 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP386\A0327852.sys [FUND] Ist das Trojanische Pferd TR/Patched.Gen Beginne mit der Desinfektion: C:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP386\A0327852.sys [FUND] Ist das Trojanische Pferd TR/Patched.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46fd7b22.qua' verschoben! Ende des Suchlaufs: Mittwoch, 12. Mai 2010 19:04 Benötigte Zeit: 52:40 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 10147 Verzeichnisse wurden überprüft 228256 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 228255 Dateien ohne Befall 1737 Archive wurden durchsucht 0 Warnungen 1 Hinweise Der Name vom Virus ist TR/Patched.Gen PS.: Hab in meinem Hijack gesehn das da Noch etwas mit BFheroes und OPlauncher ist. Wie kann ich das löschen? |
Da ist aber kein Fund in system32\drivers !! Zitat:
Bitte einen Vollscan mit malwarebytes machen und Log posten. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Malwarebytes Logfile Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2421 Windows 5.1.2600 Service Pack 3 14.05.2010 12:25:15 mbam-log-2010-05-14 (12-25-04).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 90318 Laufzeit: 3 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
OTL.Txt Code: OTL logfile created on: 14.05.2010 12:28:12 - Run 1 |
Code: OTL Extras logfile created on: 14.05.2010 12:28:12 - Run 1 |
*ahem* was ist hiermit: => Da ist aber kein Fund in system32\drivers !! Und Malwarebytes kannste gleich nochmal machen denn Du hast da ne Version aus dem Mittelalter :D rot=alt grün=aktuell Malwarebytes' Anti-Malware 1.39 => 1.46 Datenbank Version: 2421 => 4099 |
Hier das neue Malwarebytes. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 14.05.2010 14:08:04 mbam-log-2010-05-14 (14-08-04).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 134773 Laufzeit: 5 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) hmm kann auch nicht sagen was mit System32\drivers ist. Vlt. ist es dort gelöscht, vlt.war es eine Fehlmeldung. |
Zitat:
Und ich wollte nen VOLLSCAN und keinen Quickscan sehen. |
So version 4101 Und Vollscan Logfile bevor ich die Viren entfernen ließ. Wenn du willst poste ich auch den danach. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4101 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 14.05.2010 21:58:02 mbam-log-2010-05-14 (21-58-02).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 260270 Laufzeit: 1 Stunde(n), 13 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Binayet\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken. D:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP375\A0319886.exe (Backdoor.Bot) -> No action taken. |
Ok, mach mal mit CF weiter, das nimmt uns Arbeit ab ;) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Code: ComboFix 10-05-14.06 - Binayet 15.05.2010 12:19:13.3.1 - x86 |
sry für doppelpost ich wusste nicht wie man Editiert. Hab in meinem D Laufwerk eine Datei namens found.000 gefunden. Die wurde angeblich 9.August 2009 erstellt. Aber ich habe sie bisher nie gesehn. Soll ich sie löschen? |
Ja, kannste löschen. Mach auch bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board