|
Avira fand etwas was ich nicht gelöscht hab <.< Hi, heute fand mein Avira ein Virus( unter system/drivers/[kann den namen eintragen wenn es nützt]). Aber ich war so dämlich und hab zu spät auf "Entfernen" geklickt. Also erst als das popup in der ecke verschwand. Hier mein Logfile. Hoffe ihr könnt mir irgendwie helfen. Hoff es klappt wenn ich es manuel im Laufwerk lösche. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Poste bitte das AntiVir Logfile. Wenn das nicht mehr da ist reicht auch also erster Anhaltspunkt der Dateiname der virulenten Datei in system32\drivers. |
HI, hab mit Avira das gefunden und der hat das angeblich gelöscht. Aber ich weiß nicht ob ich dem ganzen trauen kann. Hoffe das ist das Avira Logfile. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 12. Mai 2010 18:10 Es wird nach 2113415 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : ****** Computername : ****** Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 12.05.2010 15:53:13 AVSCAN.DLL : 10.0.3.0 56168 Bytes 12.05.2010 15:53:13 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 15:53:12 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 15:53:12 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 15:53:12 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 15:53:12 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 15:53:12 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 15:53:12 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 15:53:12 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 15:53:12 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 15:53:12 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 15:53:12 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 15:53:12 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 15:53:12 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 15:53:12 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 15:53:12 VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 15:53:12 VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 15:53:12 VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 15:53:12 VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 15:53:12 VBASE023.VDF : 7.10.7.76 2048 Bytes 10.05.2010 15:53:12 VBASE024.VDF : 7.10.7.77 2048 Bytes 10.05.2010 15:53:12 VBASE025.VDF : 7.10.7.78 2048 Bytes 10.05.2010 15:53:12 VBASE026.VDF : 7.10.7.79 2048 Bytes 10.05.2010 15:53:12 VBASE027.VDF : 7.10.7.80 2048 Bytes 10.05.2010 15:53:12 VBASE028.VDF : 7.10.7.81 2048 Bytes 10.05.2010 15:53:12 VBASE029.VDF : 7.10.7.82 2048 Bytes 10.05.2010 15:53:12 VBASE030.VDF : 7.10.7.83 2048 Bytes 10.05.2010 15:53:12 VBASE031.VDF : 7.10.7.95 109056 Bytes 12.05.2010 15:53:12 Engineversion : 8.2.1.236 AEVDF.DLL : 8.1.2.0 106868 Bytes 12.05.2010 15:53:13 AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 12.05.2010 15:53:13 AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 16:38:41 AESBX.DLL : 8.1.3.1 254324 Bytes 12.05.2010 15:53:13 AERDL.DLL : 8.1.4.6 541043 Bytes 12.05.2010 15:53:13 AEPACK.DLL : 8.2.1.1 426358 Bytes 29.03.2010 10:08:16 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 09:09:46 AEHEUR.DLL : 8.1.1.27 2670967 Bytes 12.05.2010 15:53:13 AEHELP.DLL : 8.1.11.3 242039 Bytes 05.04.2010 14:48:29 AEGEN.DLL : 8.1.3.7 373106 Bytes 12.05.2010 15:53:13 AEEMU.DLL : 8.1.2.0 393588 Bytes 12.05.2010 15:53:12 AECORE.DLL : 8.1.15.1 192886 Bytes 12.05.2010 15:53:12 AEBB.DLL : 8.1.1.0 53618 Bytes 12.05.2010 15:53:12 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 12.05.2010 15:53:13 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 12.05.2010 15:53:13 AVARKT.DLL : 10.0.0.14 227176 Bytes 12.05.2010 15:53:13 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 12.05.2010 15:53:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: ShlExt Konfigurationsdatei...................: C:\DOKUME~1\Binayet\LOKALE~1\Temp\d50dbb52.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +JOKE, Beginn des Suchlaufs: Mittwoch, 12. Mai 2010 18:10 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP386\A0327852.sys [FUND] Ist das Trojanische Pferd TR/Patched.Gen Beginne mit der Desinfektion: C:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP386\A0327852.sys [FUND] Ist das Trojanische Pferd TR/Patched.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46fd7b22.qua' verschoben! Ende des Suchlaufs: Mittwoch, 12. Mai 2010 19:04 Benötigte Zeit: 52:40 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 10147 Verzeichnisse wurden überprüft 228256 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 228255 Dateien ohne Befall 1737 Archive wurden durchsucht 0 Warnungen 1 Hinweise Der Name vom Virus ist TR/Patched.Gen PS.: Hab in meinem Hijack gesehn das da Noch etwas mit BFheroes und OPlauncher ist. Wie kann ich das löschen? |
Da ist aber kein Fund in system32\drivers !! Zitat:
Bitte einen Vollscan mit malwarebytes machen und Log posten. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Malwarebytes Logfile Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2421 Windows 5.1.2600 Service Pack 3 14.05.2010 12:25:15 mbam-log-2010-05-14 (12-25-04).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 90318 Laufzeit: 3 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
OTL.Txt Code: OTL logfile created on: 14.05.2010 12:28:12 - Run 1 |
Code: OTL Extras logfile created on: 14.05.2010 12:28:12 - Run 1 |
*ahem* was ist hiermit: => Da ist aber kein Fund in system32\drivers !! Und Malwarebytes kannste gleich nochmal machen denn Du hast da ne Version aus dem Mittelalter :D rot=alt grün=aktuell Malwarebytes' Anti-Malware 1.39 => 1.46 Datenbank Version: 2421 => 4099 |
Hier das neue Malwarebytes. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 14.05.2010 14:08:04 mbam-log-2010-05-14 (14-08-04).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 134773 Laufzeit: 5 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) hmm kann auch nicht sagen was mit System32\drivers ist. Vlt. ist es dort gelöscht, vlt.war es eine Fehlmeldung. |
Zitat:
Und ich wollte nen VOLLSCAN und keinen Quickscan sehen. |
So version 4101 Und Vollscan Logfile bevor ich die Viren entfernen ließ. Wenn du willst poste ich auch den danach. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4101 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 14.05.2010 21:58:02 mbam-log-2010-05-14 (21-58-02).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 260270 Laufzeit: 1 Stunde(n), 13 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Binayet\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken. D:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP375\A0319886.exe (Backdoor.Bot) -> No action taken. |
Ok, mach mal mit CF weiter, das nimmt uns Arbeit ab ;) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Code: ComboFix 10-05-14.06 - Binayet 15.05.2010 12:19:13.3.1 - x86 |
sry für doppelpost ich wusste nicht wie man Editiert. Hab in meinem D Laufwerk eine Datei namens found.000 gefunden. Die wurde angeblich 9.August 2009 erstellt. Aber ich habe sie bisher nie gesehn. Soll ich sie löschen? |
Ja, kannste löschen. Mach auch bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
erstmal Malwarebytes. (Weil avira während des scanns schon 2 infizierte dateien gefunden hat hat malwarebytes keien gefunden. ich glaueb avira löscht gar nciht richtig) Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4101 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 19.05.2010 14:47:36 mbam-log-2010-05-19 (14-47-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 255438 Laufzeit: 52 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Zitat:
|
SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 05/19/2010 at 04:30 PM Application Version : 4.37.1000 Core Rules Database Version : 4954 Trace Rules Database Version: 2766 Scan type : Complete Scan Total Scan Time : 01:28:46 Memory items scanned : 464 Memory threats detected : 0 Registry items scanned : 5523 Registry threats detected : 0 File items scanned : 120892 File threats detected : 2 Unclassified.Unknown Origin C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\LERNWERKSTATT 7\DATA\GWS\HäUFIGKEIT ALLE\DIE.TXT C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\LERNWERKSTATT 7\DATA\GWS\WöRTER MIT IE\DIE.TXT |
Das von SASW sind Fehlalarme. Machst Du den Scan mit aktuellem Malwarebytes noch? |
Natürlich :) Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4117 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 19.05.2010 17:33:31 mbam-log-2010-05-19 (17-33-31).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 256808 Laufzeit: 50 Minute(n), 26 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Cheat Engine (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Eine Frage am rande. Jemand hat mir ein Programm empfohlen, dass man kostenlos im Internet laden kann. Wenn ich das runterlade kommt sofort eine Meldung dass eine Malware gefunden wurde. Die Person meinte ich müsste dass nur von der Firewall freigeben lassen. Aber ich bin mir da nicht sicher. Immerhin kann es ja ein echter Virus sein oder? Er meint bei ihm gäbe es keine Probleme. Kann ich vor dem runterladen dass irgendwie feststellen? |
Das von Malwarebytes sieht auch eher nach einem Fehlalarm aus. Zitat:
|
Das programm heißt Harping MIDI Download Harping Midi Player ich glaub eigentlich nicht dass der mir was unterjubeln will. Kann cih mir nciht vorstellen XD Also wenn beide Logs nur fehlalarme sind, heißt das dass cih kein Virus habe? |
Das ist ne offzielle Website. Bei den dünnen Infos vorhin dachte ich an eine Rapidshare oder sonstwas Seite wo gerne Warez und diverse andere dubiosen Programme heruntergeladen werden können... :rolleyes: - das Teil selbst ist ok => https://www.virustotal.com/de/analis...be0-1274365429 Aber wozu muss es in der Windows-Firewall freigegeben werden? Hallo, das ist ein MIDI-Player! :eek: Edit: Lass die Finger davon, anscheinend hat jmd. an das andere Setup (nicht die *.msi Datei) einen Backdoorserver drangeklebt!! => https://www.virustotal.com/de/analis...ae9-1274365665 Wer hat Dir das Programm empfohlen? Kennst Du den? |
Nein ich kenne ihn nicht persönlich. Hat mir in nem Forum gepostet. Hab den das mit dem Virus auch gesagt.... |
Noch eine ltzte frage zu Superantispyware. Wenn ich in der Quarantäne ein objekt auswähle und entfernen mache wird es gelöscht oder aus der Quarantäne entnommen. Weil es gibt auch einen Clear all button. |
Normalerweise ist es so: aus der Quanrantäne löschen => dauerhaft löschen aus der Quanrantäne wiederherstellen => Objekt aus der Quantäne nehmen und wieder an den ursprünglichen Ort kopieren |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board