neues vom BKA-virus
 

hallo leute,

bisher hab ich den BKA-virus mittels systemwiederherstellung erfolgreich bekämpfen können, wenn ich ihn denn mal hatte, aber die systemwiederherstellungspunkte sind nun gelöscht und nun hab ich den salat.

folgendes hatte zunächst funktioniert:

ich hab mir "Process Blocker" runtergeladen und dort jashla.exe, mahmud.exe, mahmut.exe und neu.exe eingetragen. außerdem habe ich alle diese dateien durch "placebos" ersetzt (leere word datei entsprechend benannt und dann zugriffsrechte für alle verweigert).

mittlerweile ist es allerdings so, dass sich der virus an die explorer.exe gehangen hat. sobald ich die öffne, bemächtigt sich das 'BKA' meines bildschirms.
in der registry ist der shell-eintrag ok. dort steht 'explorer.exe'.
ich habe 'explorer.exe' mittlerweile im Process Blocker mit aufgelistet und kann somit wieder halbwegs mit dem PC arbeiten, aber eine coole lösung ist das nicht.
hat jemand schon erfahrung mit dem sachverhalt? (BKA virus trotz korrektem shell-eintrag, alle entsprechenden exe-dateien geblockt und nur die explorer.exe (c/windows/explorer.exe) verursacht schaden)

die eigenschaften bei der explorer.exe teilen mir übrigens mit, dass die datei vor einem jahr erstellt wurde (seitdem hab ich den PC) und auch nicht geändert wurde.

danke schonmal für die hilfe.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ok. danke für die antwort. hier erstmal das logfile von malwarebytes. die eset-ergebnisse kommen im nächsten post.


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8112

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.11.2011 11:36:29
mbam-log-2011-11-08 (11-36-29).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 161310
Laufzeit: 5 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 14
Infizierte Verzeichnisse: 2
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Gen) -> Bad: (C:\WINDOWS\system32\appconf32.exe) Good: () -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\appconf32.exe (Malware.Gen) -> Delete on reboot.
c:\WINDOWS\system32\acroiehelpe.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\6dss92c31apgjk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\agvqvkfpnfmitwf.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc58.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc59.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc60.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc61.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc68.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc7.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc70.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc81.exe (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\lokale einstellungen\Temp\jar_cache3720017984294855593.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\lokale einstellungen\Temp\F4.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\twexx32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.

Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

hoppla..sorry. bin der anleitung gefolgt und habs in deinem beitrag überlesen. kommt sofort.

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8112

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.11.2011 12:22:34
mbam-log-2011-11-08 (12-22-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 241155
Laufzeit: 23 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\29\6910611d-6c3b36d5 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\32\44e6d4e0-1146bafe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\40\536fd8e8-49578ba8 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\49\4b9bc331-3175bf35 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\56\2eae48f8-4c189631 (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\9\48148949-364b268c (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\Sun\Java\deployment\cache\6.0\32\44e6d4e0-57fb8f66 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\Sun\Java\deployment\cache\6.0\53\f9b2235-78f97ce6 (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc89.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP84\A0024977.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP84\A0035011.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0035025.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0038026.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0043053.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0043084.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043234.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043273.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043274.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043275.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0050396.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043349.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043369.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043402.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043403.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0044390.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0046388.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0053415.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0053416.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0054449.exe (Malware.Gen) -> Quarantined and deleted successfully.

und hier das eset logfile:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=11656b7418bab349b1f5f03b660f9fd1
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-08 10:56:51
# local_time=2011-11-08 11:56:51 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 3729 3729 0 0
# scanned=8799
# found=19
# cleaned=0
# scan_time=362
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\6910611d-6c3b36d5 a variant of Win32/Kryptik.VCD trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\76125e9f-3276cb9a Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\44e6d4e0-1146bafe a variant of Win32/Kryptik.UZI trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\536fd8e8-49578ba8 a variant of Win32/Kryptik.VCD trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\4b9bc331-3175bf35 a variant of Win32/Kryptik.VAG trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\4b61fe36-6d1a10c6 Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9\48148949-364b268c a variant of Win32/Kryptik.VAO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7SJUJIL\224eaf740d2d9b52062844af08985446[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVS30HEF\224eaf740d2d9b52062844af08985446[1] HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVS30HEF\2ddfp[1].pdf JS/Exploit.Pdfka.PFS.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PZ9ABH9A\0761e14dc5011a3cc3b9e19e377008e3[1] HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q962C4ET\0761e14dc5011a3cc3b9e19e377008e3[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\346c2815-798606ed Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\19e8219f-2d779a87 multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\44e6d4e0-57fb8f66 a variant of Win32/Kryptik.UZI trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\75a9c4a5-1df802b0 a variant of Java/Agent.DW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\f9b2235-78f97ce6 a variant of Win32/Kryptik.VAQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\c3423b7-1a7e342c a variant of Java/Agent.DT trojan (unable to clean) 00000000000000000000000000000000 I
esets_scanner_update returned -1 esets_gle=0
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=11656b7418bab349b1f5f03b660f9fd1
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-08 11:34:24
# local_time=2011-11-08 12:34:24 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 6339 6339 0 0
# scanned=82
# found=0
# cleaned=0
# scan_time=6
esets_scanner_update returned -1 esets_gle=0
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=11656b7418bab349b1f5f03b660f9fd1
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-08 12:37:21
# local_time=2011-11-08 01:37:21 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 6376 6376 0 0
# scanned=174696
# found=25
# cleaned=0
# scan_time=3746
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\76125e9f-3276cb9a Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\4b61fe36-6d1a10c6 Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7SJUJIL\224eaf740d2d9b52062844af08985446[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVS30HEF\224eaf740d2d9b52062844af08985446[1] HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVS30HEF\2ddfp[1].pdf JS/Exploit.Pdfka.PFS.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PZ9ABH9A\0761e14dc5011a3cc3b9e19e377008e3[1] HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q962C4ET\0761e14dc5011a3cc3b9e19e377008e3[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\346c2815-798606ed Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\19e8219f-2d779a87 multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\75a9c4a5-1df802b0 a variant of Java/Agent.DW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\c3423b7-1a7e342c a variant of Java/Agent.DT trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\syllvjp8.default\Cache(2)\C\AA\87FA8d01 JS/Exploit.Pdfka.PDM.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\RECYCLER\S-1-5-21-1935655697-1547161642-725345543-500\Dc5.exe Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\explorer.exe a variant of Win32/Kryptik.VCD trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\dllcache\explorer.exe a variant of Win32/Kryptik.VCD trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\drivers\redbook.sys a variant of Win32/Rootkit.Kryptik.EX trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\0.6753338941194021.exe a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7BCC.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7BCD.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7E16.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7E17.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7E43.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I

Du hast beide Logs von Malwarebytes unvollständig gepostet. Beim ersten Log (Quickscan) zählte MBAM 21, im Vollscan-Log 32 infizierte Dateien. Im 1. Log seh ich aber 20 (eine fehlt) und im 2. Log nur 29 (3 fehlen)

Poste bitte alle beiden Logs vollständig!

ESET hat 19 infizierte Dateien gefunden, aufgelistet werden nur 18! Was soll das?

Im 2. Lauf findet es 25 und gelistet werden nur 22!
Was machst du da mit den Logs?! :mad:

richtig. wie gesagt: ich habe 'new.exe', 'jashka.exe' und 'mahmud.exe' gort, wo ich sie gefunden habe, gelöscht und durch placebos ersetzt. diese placebos sind in den logfiles aufgetaucht (hab sie nochmal gecheckt - sie haben alle 0 bytes) und ich hab sie rausgelöscht, weil sie nicht relevant sind und um verwirrung zu vermeiden, bzw um files, die gar nicht infiziert sind, im log stehen zu haben.

beim ersten log von malwarebytes war noch eine umbenannte explorer.exe dabei. ich hatte sie aus dem windows verzeichnis woandershin kopiert und umbenannt. anscheinend war sie trotzdem infiziert und ich hab sie gelöscht und anschließend auch aus dem logfile entfernt, weil sie nun auch nicht mehr relevant ist.

Ich möchte aber keine derart manipulierten Logs sehen. Private Infos zensieren ist ok, mehr aber auch nicht.

ok,ok.. hier die komplette neue logdatei von malwarebytes:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8112

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.11.2011 20:17:04
mbam-log-2011-11-08 (20-17-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 248838
Laufzeit: 25 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 20

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Gen) -> Bad: (C:\WINDOWS\system32\appconf32.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\appconf32.exe (Malware.Gen) -> Delete on reboot.
c:\WINDOWS\system32\acroiehelpe045.dll (Trojan.Banker) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\8D63.tmp (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\privacy.exe (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\mahmud.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\56\2eae48f8-2cfe5267 (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\57\77884ab9-1dd57a0c (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\lokale einstellungen\temporary internet files\Content.IE5\UH236DWV\readme[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0055479.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0055480.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\0.9358008878950674.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\0.25834792987525257.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\0.6753338941194021.exe (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\7BCC.tmp (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\7E16.tmp (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\7E43.tmp (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.

Ich wollte kein neues, sondern die bereits erstellen vollständig sehen...

die logs vom alten scan existieren nicht mehr. dann kannst du mit dem hier sicher auch nichts anfangen...(ESET) :

C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\76125e9f-3276cb9a Win32/LockScreen.AHO trojan
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\4b61fe36-6d1a10c6 Win32/LockScreen.AHO trojan
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7SJUJIL\224eaf740d2d9b52062844af08985446[1].htm HTML/Iframe.B.Gen virus
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\POD93DL7\2ddfp[1].pdf JS/Exploit.Pdfka.PFS.Gen trojan
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q962C4ET\0761e14dc5011a3cc3b9e19e377008e3[1].htm HTML/Iframe.B.Gen virus
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\346c2815-798606ed Java/Agent.DU trojan
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\19e8219f-2d779a87 multiple threats
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\75a9c4a5-1df802b0 a variant of Java/Agent.DW trojan
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\c3423b7-1a7e342c a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\syllvjp8.default\Cache(2)\C\AA\87FA8d01 JS/Exploit.Pdfka.PDM.Gen trojan
C:\RECYCLER\S-1-5-21-1935655697-1547161642-725345543-500\Dc5.exe Win32/LockScreen.AHO trojan
C:\RECYCLER\S-1-5-21-1935655697-1547161642-725345543-500\Dc89.part a variant of WMA/TrojanDownloader.GetCodec.gen trojan
C:\WINDOWS\explorer.exe a variant of Win32/Kryptik.VCD trojan
C:\WINDOWS\system32\dllcache\explorer.exe a variant of Win32/Kryptik.VCD trojan
C:\WINDOWS\system32\drivers\redbook.sys a variant of Win32/Rootkit.Kryptik.EX trojan
Operating memory probably a variant of Win32/Sirefef.DA trojan

Malwarebytes speichert die alle im Reiter Logdateien...

ah, super.
hier ist sie:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8112

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.11.2011 12:22:34
mbam-log-2011-11-08 (12-22-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 241155
Laufzeit: 23 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\29\6910611d-6c3b36d5 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\32\44e6d4e0-1146bafe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\40\536fd8e8-49578ba8 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\49\4b9bc331-3175bf35 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\56\2eae48f8-4c189631 (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\9\48148949-364b268c (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\Sun\Java\deployment\cache\6.0\32\44e6d4e0-57fb8f66 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\Sun\Java\deployment\cache\6.0\53\f9b2235-78f97ce6 (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc89.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP84\A0024977.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP84\A0035011.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0035025.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0038026.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0043053.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0043084.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043234.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043273.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043274.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043275.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0050396.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043349.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043369.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043402.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043403.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0044390.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0046388.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0053415.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0053416.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0054449.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Not selected for removal.
c:\dokumente und einstellungen\default user\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Not selected for removal.
c:\dokumente und einstellungen\User\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Not selected for removal.