|
Mehrere Trojaner und Sonderbares!!!! Guten Abend, ein Freund hat mir diese Seite wärmstens Empfohlen, im Kampf gegen Schadsoftware. So, hier kommt mein Anliegen. Seit geraumer Zeit plagen mich Trojaner Viren und co. Ich möchte dieses Ungeziefer schnellstens loswerden und wende mich daher an echte Profis. Ich hoffe, Ihr könnt mir helfen Zum einen der scan von Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4052 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.13 21.06.2010 13:26:15 mbam-log-2010-06-21 (13-26-15).txt Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|M:\|Z:\|) Durchsuchte Objekte: 270505 Laufzeit: 40 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{2460E5F9-DA07-4DFA-8C2E-B83D0B4DB4E9}\RP9\A0004366.exe (Trojan.Orsam) -> No action taken. und zum zweiten, scan mit OTL OTL Logfile: Code: OTL logfile created on: 21.06.2010 13:01:43 - Run 1 |
das war nur otl.txt, wo ist extras.txt? wurden die trojaner von avira angezeigt? wenn ja zeige die funde. sie sind entweder unter ereignisse zu finden, falls es funde des guards waren, oder unter berichte, wenn sie beim scannen auftauchten. Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren. Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der Bereinigung rückgängig machen. Lade http://filepony.de/download-defogger/ herunter und speichere es auf Deinem Desktop. Doppelklicke DeFogger, um das Tool zu starten. • Es öffnet sich das Programm-Fenster des Tools. • Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren. • Klicke Ja, um fortzufahren. • Wenn die Nachricht 'Finished!' erscheint, • klicke OK. • DeFogger wird nun einen Reboot erfragen - klicke OK • Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird. Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun das Folgende in die Textbox. :OTL IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found O4 - HKLM..\Run: [UserFaultCheck] File not found :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Run Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten öffne malwarebytes, registerkarte aktualisierung. update das programm. klicke registerkarte scanner, wähle komplett scan, funde löschen, log posten. |
Hier nochmal der Suchlauf von OTL: mit. OTL.Txt und Extras.Txt OTL Logfile: Code: OTL logfile created on: 21.06.2010 20:59:51 - Run 4OTL Logfile: Code: OTL Extras logfile created on: 21.06.2010 20:59:51 - Run 4Zu den Cd-Emulator, dieser wurde gelöscht (wird nicht benötigt) Ich hoffe, die nachfolgende Aufzählung reicht hierfür aus, andernfalls könnte ich screenshoots posten. Der Guard von Avira konnte folgenden Fund verzeichnen: (4 mal den gleichen Wurm) " Desktop\TEMP\AVSCAN-20100619-214031-B0444345\ARK73.tmp' wurde ein Virus oder unerwünschtes Programm 'WORM/Conficker.L' gefunden. " Und der Suchlauf schlug mit 4 Treffern zugrunde: TR/Dldr.Java.Agent.BH (2 mal) WORM/Conficker.L TR/Buzus.eafw Vielen Dank. MfG Hockeymaster |
kannst du mal den ganzen avira scan bericht posten. dann mach jetzt weiter mit dem punkt "fixen mit otl" du must dann dafür auf den "fix" buton klicken. |
Guten Abend, Der Fix mit OTL funktioniert nicht, beim Einfügen des Textes, und fixen des Problems stürzt der Computer mit einem kurz sichtbaren Bluescreen ab. Beim anschließenden Neustart bleibt das Erscheinen einer .Txt aus Der Scan von Avira: (Suchlauf noch unter dem Einfluss von Cd-Emulator, aktuellere Suchläufe blieben ohne einen Fund) Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 19. Juni 2010 21:40 Es wird nach 2227595 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : - Computername : - Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:58:00 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:58:13 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 18:58:13 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 18:58:13 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 18:58:14 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 18:58:14 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 18:58:14 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 18:58:14 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 18:58:15 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 18:58:16 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 18:58:17 VBASE016.VDF : 7.10.8.103 2048 Bytes 16.06.2010 18:58:17 VBASE017.VDF : 7.10.8.104 2048 Bytes 16.06.2010 18:58:17 VBASE018.VDF : 7.10.8.105 2048 Bytes 16.06.2010 18:58:17 VBASE019.VDF : 7.10.8.106 2048 Bytes 16.06.2010 18:58:17 VBASE020.VDF : 7.10.8.107 2048 Bytes 16.06.2010 18:58:17 VBASE021.VDF : 7.10.8.108 2048 Bytes 16.06.2010 18:58:18 VBASE022.VDF : 7.10.8.109 2048 Bytes 16.06.2010 18:58:18 VBASE023.VDF : 7.10.8.110 2048 Bytes 16.06.2010 18:58:18 VBASE024.VDF : 7.10.8.111 2048 Bytes 16.06.2010 18:58:18 VBASE025.VDF : 7.10.8.112 2048 Bytes 16.06.2010 18:58:18 VBASE026.VDF : 7.10.8.113 2048 Bytes 16.06.2010 18:58:18 VBASE027.VDF : 7.10.8.114 2048 Bytes 16.06.2010 18:58:18 VBASE028.VDF : 7.10.8.115 2048 Bytes 16.06.2010 18:58:18 VBASE029.VDF : 7.10.8.116 2048 Bytes 16.06.2010 18:58:18 VBASE030.VDF : 7.10.8.117 2048 Bytes 16.06.2010 18:58:18 VBASE031.VDF : 7.10.8.127 102912 Bytes 18.06.2010 18:58:19 Engineversion : 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 19.06.2010 18:58:36 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 19.06.2010 18:58:35 AESCN.DLL : 8.1.6.1 127347 Bytes 19.06.2010 18:58:33 AESBX.DLL : 8.1.3.1 254324 Bytes 19.06.2010 18:58:36 AERDL.DLL : 8.1.4.6 541043 Bytes 19.06.2010 18:58:33 AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 11:34:51 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 19.06.2010 18:58:31 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 19.06.2010 18:58:30 AEHELP.DLL : 8.1.11.5 242038 Bytes 19.06.2010 18:58:24 AEGEN.DLL : 8.1.3.10 377205 Bytes 19.06.2010 18:58:23 AEEMU.DLL : 8.1.2.0 393588 Bytes 19.06.2010 18:58:22 AECORE.DLL : 8.1.15.3 192886 Bytes 19.06.2010 18:58:21 AEBB.DLL : 8.1.1.0 53618 Bytes 19.06.2010 18:58:21 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Manuelle Auswahl Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, M:, Z:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Samstag, 19. Juni 2010 21:40 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrueCrypt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Evil_Player.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcAppFlt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DTLite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nTrayFw.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'M:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'Z:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1678' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Dokumente und Einstellungen\\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38\64db5f66-5364364d [0] Archivtyp: ZIP [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.BI --> Gp4ldtX.class [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.BI C:\Dokumente und Einstellungen\\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\43172bc5-3dc5484e [0] Archivtyp: ZIP [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH.1 --> fiece/Biutedwc.class [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH.1 --> fiece/MyYjefe.class [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH.2 --> fiece/Oewofvc.class [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\g_0009\opr000YZ.tmp [FUND] Ist das Trojanische Pferd TR/Buzus.eafw C:\WINXP\system32\vfotuawx.dll [FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.L Beginne mit der Suche in 'M:\' Beginne mit der Suche in 'Z:\' Beginne mit der Desinfektion: C:\WINXP\system32\vfotuawx.dll [FUND] Enthält Erkennungsmuster des Wurmes WORM/Conficker.L [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fe688e7.qua' verschoben! C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\g_0009\opr000YZ.tmp [FUND] Ist das Trojanische Pferd TR/Buzus.eafw [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5772acde.qua' verschoben! C:\Dokumente und Einstellungen\\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\43172bc5-3dc5484e [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.BH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05ecf669.qua' verschoben! C:\Dokumente und Einstellungen\\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38\64db5f66-5364364d [FUND] Ist das Trojanische Pferd TR/Dldr.Java.Agent.BI [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6314b9a8.qua' verschoben! Ende des Suchlaufs: Samstag, 19. Juni 2010 22:24 Benötigte Zeit: 42:57 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 9317 Verzeichnisse wurden überprüft 369918 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 369912 Dateien ohne Befall 2358 Archive wurden durchsucht 0 Warnungen 3 Hinweise |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Combofix Logfile: Code: ComboFix 10-06-21.01 - - 22.06.2010 13:30:47.1.4 - x86 |
versuche das otl script von oben noch mal. wenn es nicht läuft. dann machs im abgesicherten modus. den solltest du erreichen, in dem du beim pc start ein paar mal f8 drückst und dann mit den coursor tasten abges modus auswählst und mit enter bestätigst |
Im abgesichrten Modus funktioniert es. All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\UserFaultCheck not found. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User User: - ->Flash cache emptied: 61130 bytes User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Frank ->Temp folder emptied: 1265556 bytes ->Temporary Internet Files folder emptied: 424980 bytes ->Java cache emptied: 12354221 bytes ->FireFox cache emptied: 92272845 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2417100 bytes %systemroot%\System32 .tmp files removed: 2431631 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 16384 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 106,00 mb OTL by OldTimer - Version 3.2.6.1 log created on 06222010_172602 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
öffne malwarebytes, registerkarte aktualisierung. update das programm. registerkarte scanner, komplett scan, funde löschen, log posten. |
Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4225 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.13 22.06.2010 21:16:47 mbam-log-2010-06-22 (21-16-47).txt Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|M:\|Z:\|) Durchsuchte Objekte: 270985 Laufzeit: 45 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
avira avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
Avira erfolgreich eingestellt, auf die neuste Version aktualisiert, Scan ohne einen Fund. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 22. Juni 2010 22:08 Es wird nach 2239430 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : - Computername : - Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:58:00 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:58:13 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 18:58:13 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 18:58:13 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 18:58:14 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 18:58:14 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 18:58:14 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 18:58:14 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 18:58:15 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 18:58:16 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 18:58:17 VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 19:57:57 VBASE017.VDF : 7.10.8.136 2048 Bytes 21.06.2010 19:57:57 VBASE018.VDF : 7.10.8.137 2048 Bytes 21.06.2010 19:57:57 VBASE019.VDF : 7.10.8.138 2048 Bytes 21.06.2010 19:57:57 VBASE020.VDF : 7.10.8.139 2048 Bytes 21.06.2010 19:57:57 VBASE021.VDF : 7.10.8.140 2048 Bytes 21.06.2010 19:57:57 VBASE022.VDF : 7.10.8.141 2048 Bytes 21.06.2010 19:57:57 VBASE023.VDF : 7.10.8.142 2048 Bytes 21.06.2010 19:57:58 VBASE024.VDF : 7.10.8.143 2048 Bytes 21.06.2010 19:57:58 VBASE025.VDF : 7.10.8.144 2048 Bytes 21.06.2010 19:57:58 VBASE026.VDF : 7.10.8.145 2048 Bytes 21.06.2010 19:57:58 VBASE027.VDF : 7.10.8.146 2048 Bytes 21.06.2010 19:57:58 VBASE028.VDF : 7.10.8.147 2048 Bytes 21.06.2010 19:57:59 VBASE029.VDF : 7.10.8.148 2048 Bytes 21.06.2010 19:57:59 VBASE030.VDF : 7.10.8.149 2048 Bytes 21.06.2010 19:57:59 VBASE031.VDF : 7.10.8.156 132608 Bytes 22.06.2010 19:58:00 Engineversion : 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 19.06.2010 18:58:36 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 19.06.2010 18:58:35 AESCN.DLL : 8.1.6.1 127347 Bytes 19.06.2010 18:58:33 AESBX.DLL : 8.1.3.1 254324 Bytes 19.06.2010 18:58:36 AERDL.DLL : 8.1.4.6 541043 Bytes 19.06.2010 18:58:33 AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 11:34:51 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 19.06.2010 18:58:31 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 19.06.2010 18:58:30 AEHELP.DLL : 8.1.11.5 242038 Bytes 19.06.2010 18:58:24 AEGEN.DLL : 8.1.3.10 377205 Bytes 19.06.2010 18:58:23 AEEMU.DLL : 8.1.2.0 393588 Bytes 19.06.2010 18:58:22 AECORE.DLL : 8.1.15.3 192886 Bytes 19.06.2010 18:58:21 AEBB.DLL : 8.1.1.0 53618 Bytes 19.06.2010 18:58:21 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Suche nach Rootkits und aktiver Malware Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 10 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Dienstag, 22. Juni 2010 22:08 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-1645522239-583907252-1801674531-1003\Software\SecuROM\License information\datasecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-1645522239-583907252-1801674531-1003\Software\SecuROM\License information\rkeysecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '112' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '95' Modul(e) wurden durchsucht Durchsuche Prozess 'Evil_Player.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrB.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '118' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'TrueCrypt.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'nTrayFw.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcAppFlt.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcLog.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcIp.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '101' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '147' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1657' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:' Ende des Suchlaufs: Dienstag, 22. Juni 2010 22:23 Benötigte Zeit: 15:47 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 4343 Verzeichnisse wurden überprüft 93763 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 93763 Dateien ohne Befall 1165 Archive wurden durchsucht 0 Warnungen 0 Hinweise 397297 Objekte wurden beim Rootkitscan durchsucht 2 Versteckte Objekte wurden gefunden |
so, jetzt besuche die windows update seite, spiele das servicepack 3 und den internet explorer 8 auf. danach ein neues otl log erstellen wie in deinem ersten post. wobei mir diesmal die otl.txt reicht. berichte außerdem, wie der pc jetzt läuft. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board