Trojaner-Board
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   "gefährliches Backdoorprogramm BDS/Papras.HI" - krnlutou.dll (https://www.trojaner-board.de/87177-gefaehrliches-backdoorprogramm-bds-papras-hi-krnlutou-dll.html)

markusg 20.06.2010 18:39
das ist avira 9. die anleitung ist für avira 10. also bitte noch mal. und natürlich avira 10 instalieren und nutzen, wies dort steht

kosova 22.06.2010 13:56
Hier hoffe das ist das richtig...

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 21. Juni 2010 16:00

Es wird nach 2228330 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : ***-PC

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 21.06.2010 13:46:40
AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.06.2010 13:46:40
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 13:46:39
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 13:46:39
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 13:46:39
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 13:46:39
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 13:46:39
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 13:46:39
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 13:46:39
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 13:46:39
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 13:46:39
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 13:46:39
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 13:46:39
VBASE016.VDF : 7.10.8.103 2048 Bytes 16.06.2010 13:46:39
VBASE017.VDF : 7.10.8.104 2048 Bytes 16.06.2010 13:46:39
VBASE018.VDF : 7.10.8.105 2048 Bytes 16.06.2010 13:46:39
VBASE019.VDF : 7.10.8.106 2048 Bytes 16.06.2010 13:46:39
VBASE020.VDF : 7.10.8.107 2048 Bytes 16.06.2010 13:46:39
VBASE021.VDF : 7.10.8.108 2048 Bytes 16.06.2010 13:46:39
VBASE022.VDF : 7.10.8.109 2048 Bytes 16.06.2010 13:46:39
VBASE023.VDF : 7.10.8.110 2048 Bytes 16.06.2010 13:46:39
VBASE024.VDF : 7.10.8.111 2048 Bytes 16.06.2010 13:46:39
VBASE025.VDF : 7.10.8.112 2048 Bytes 16.06.2010 13:46:39
VBASE026.VDF : 7.10.8.113 2048 Bytes 16.06.2010 13:46:39
VBASE027.VDF : 7.10.8.114 2048 Bytes 16.06.2010 13:46:39
VBASE028.VDF : 7.10.8.115 2048 Bytes 16.06.2010 13:46:39
VBASE029.VDF : 7.10.8.116 2048 Bytes 16.06.2010 13:46:39
VBASE030.VDF : 7.10.8.117 2048 Bytes 16.06.2010 13:46:39
VBASE031.VDF : 7.10.8.131 114176 Bytes 21.06.2010 13:46:39
Engineversion : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 21.06.2010 13:46:40
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 21.06.2010 13:46:40
AESCN.DLL : 8.1.6.1 127347 Bytes 21.06.2010 13:46:40
AESBX.DLL : 8.1.3.1 254324 Bytes 21.06.2010 13:46:40
AERDL.DLL : 8.1.4.6 541043 Bytes 21.06.2010 13:46:40
AEPACK.DLL : 8.2.1.1 426358 Bytes 21.06.2010 13:46:39
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 21.06.2010 13:46:39
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 21.06.2010 13:46:39
AEHELP.DLL : 8.1.11.5 242038 Bytes 21.06.2010 13:46:39
AEGEN.DLL : 8.1.3.10 377205 Bytes 21.06.2010 13:46:39
AEEMU.DLL : 8.1.2.0 393588 Bytes 21.06.2010 13:46:39
AECORE.DLL : 8.1.15.3 192886 Bytes 21.06.2010 13:46:39
AEBB.DLL : 8.1.1.0 53618 Bytes 21.06.2010 13:46:39
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 21.06.2010 13:46:40
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 21.06.2010 13:46:40
AVARKT.DLL : 10.0.0.14 227176 Bytes 21.06.2010 13:46:40
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 21.06.2010 13:46:39

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, F:, G:, I:, D:, H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 21. Juni 2010 16:00

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\explorer.exe
c:\Windows\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpCmdRun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CPSHelpRunner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RoxWatchTray9.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALUSchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppSvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Im Laufwerk 'E:\' ist kein Datenträger eingelegt!
Bootsektor 'F:\'
[INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
[INFO] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[INFO] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '536' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HDD>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Montag, 21. Juni 2010 18:06
Benötigte Zeit: 2:06:05 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

31064 Verzeichnisse wurden überprüft
444469 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
444469 Dateien ohne Befall
2026 Archive wurden durchsucht
0 Warnungen
0 Hinweise
160317 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

markusg 22.06.2010 13:59
ok, für die zukunft, bitte aktiviere in avira, konfiguration, scanner, intigritätsprüfung von systemdateien!
wie läuft der pc?

kosova 22.06.2010 14:02
ja der läuft gut, nur wenn ich mich anmelde kommt eben immer noch diese meldung:

http://s3.directupload.net/images/100615/voszuufb.jpg

was ist da faul kann ich nicht diese dll datei einfach irgendwie löschen ??!

markusg 22.06.2010 14:03
du hast den ccleaner sehe ich.
öffne den, bereiige damit den pc + die registry. starte dann neu, schaue obs jetzt noch auftaucht.

kosova 22.06.2010 14:23
fertig.

immer noch das gleiche problem....

http://s1.directupload.net/images/100622/4i8lgzhd.jpg


was kann ich machen ?!!

ach übrigens seit den avira update (also seit ich avira 10) habe ist diese komische datei auch nicht mehr in der quarantäne....

markusg 22.06.2010 14:40
ja, die datei wird von avira bei neuinstalation gelöscht.

downloade
Registry Search by Bobbi Flekman
Bleeping Computer Downloads: RegSearch
in das Feld: "Enter search strings" kopierst du folgendes rein:
krnlutou.dll
klicke "Ok".
der editor öffnet sich, poste das ergebniss.

kosova 22.06.2010 14:47
hier die gewünschte txt:

Zitat:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 22.06.2010 15:43:55 for strings:
; 'krnlutou.dll'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-4039198485-1440016021-4218304769-1008\Software\Microsoft\Windows\CurrentVersion\Run]
"audihCfg"="rundll32 \"C:\\Users\\***\\AppData\\Local\\Temp\\krnlutou.dll\",DllEntryPoint"

; End Of The Log...

markusg 22.06.2010 15:02
download malwarebytes:
Malwarebytes
instaliere das programm, dann update es, in dem du auf die registerkarte aktualisierung klickst, und das update lädst.
dann registerkarte scanner, komplett scan.
funde löschen, log posten.

kosova 22.06.2010 15:05
http://s1.directupload.net/images/100622/vvoipzmp.jpg

was soll ich jetzt machen?



UND
was für ein log soll ich danach posten?

markusg 22.06.2010 15:08
das programm sollte am ende ne textdatei öffnen, die du dann bitte hier postest.
falls das nicht passiert, klicke auf logdateien, dort sollte es drinnen stehen

kosova 22.06.2010 15:10
fehlermeldung!

markusg 22.06.2010 15:16
kannst du den text mal posten?

kosova 22.06.2010 15:19
MBAM_ERROR_UPDATING (12029, 0, WinHttpSendRequest)

markusg 22.06.2010 15:25
http://mbam.malwarebytes.org/database/mbam-rules.exe
das mal downloaden und ausführen, malwarebytes vorher schließen, das ist das manuelle update.
danach scannen wie beschrieben.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:48 Uhr.
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131