Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BKA / ukash / fakealert.AP - wieder sauber? (https://www.trojaner-board.de/113063-bka-ukash-fakealert-ap-sauber.html)

kartöffel 03.04.2012 18:14
BKA / ukash / fakealert.AP - wieder sauber?
 
Moin zusammen,

aus Unachtsamkeit hab ich mir den BKA / Ukash, wohl fakeagent.AP eingefangen, gestern Abend.
Ich bin erstmal mit der vorhandenen Usererfahrung (=Halbwissen) dran.
Heißt: Abgesicherter Modus - Systemrückstellung - Abgesicherter Modus - Avira Scan.
Der hat den fakeagent.AP auch gefunden dann.

Ich hab jetzt mit bitdefender und eset Online Scans gemacht. bitdefender findet nichts, eset hat mir 8 andere Malwares gekillt.

Die Symptome des Virus von gestern Abend sind weg - aber ich traue dem Frieden nicht, schon gar nicht nachdem ich dann bei euch im Board ein bisschen gelesen habe...

Anbei mal zwei Files (dds) wie in eurem Howto beschrieben, ich wäre euch dankbar für Entwarnung oder Hilfe, solltet ihr noch weitere Infos brauchen gebt Bescheid =)

Besten Dank
kartöffel

cosinus 04.04.2012 14:12
Zitat:
Abgesicherter Modus - Avira Scan.
Der hat den fakeagent.AP auch gefunden dann.
eset hat mir 8 andere Malwares gekillt.

Ohne die Logs von AntiVir und ESET wird das hier nichts. :glaskugel:
Alles muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

kartöffel 04.04.2012 21:44
Alles klar, danke & sorry.

Hier mal Avira:

Code:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 4. April 2012  18:56

Es wird nach 3580092 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : ACR

Versionsinformationen:
BUILD.DAT      : 12.0.0.898    41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE    : 12.1.0.20    492496 Bytes  31.01.2012 06:55:52
AVSCAN.DLL    : 12.1.0.18      65744 Bytes  31.01.2012 06:56:29
LUKE.DLL      : 12.1.0.19      68304 Bytes  31.01.2012 06:56:01
AVSCPLR.DLL    : 12.1.0.22    100048 Bytes  31.01.2012 06:55:52
AVREG.DLL      : 12.1.0.33    228104 Bytes  02.04.2012 16:37:16
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 07:23:43
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 07:27:31
VBASE005.VDF  : 7.11.26.45      2048 Bytes  28.03.2012 07:27:31
VBASE006.VDF  : 7.11.26.46      2048 Bytes  28.03.2012 07:27:31
VBASE007.VDF  : 7.11.26.47      2048 Bytes  28.03.2012 07:27:31
VBASE008.VDF  : 7.11.26.48      2048 Bytes  28.03.2012 07:27:31
VBASE009.VDF  : 7.11.26.49      2048 Bytes  28.03.2012 07:27:31
VBASE010.VDF  : 7.11.26.50      2048 Bytes  28.03.2012 07:27:32
VBASE011.VDF  : 7.11.26.51      2048 Bytes  28.03.2012 07:27:32
VBASE012.VDF  : 7.11.26.52      2048 Bytes  28.03.2012 07:27:32
VBASE013.VDF  : 7.11.26.53      2048 Bytes  28.03.2012 07:27:32
VBASE014.VDF  : 7.11.26.107  221696 Bytes  30.03.2012 09:20:52
VBASE015.VDF  : 7.11.26.179  224768 Bytes  02.04.2012 16:37:11
VBASE016.VDF  : 7.11.26.180    2048 Bytes  02.04.2012 16:37:11
VBASE017.VDF  : 7.11.26.181    2048 Bytes  02.04.2012 16:37:11
VBASE018.VDF  : 7.11.26.182    2048 Bytes  02.04.2012 16:37:11
VBASE019.VDF  : 7.11.26.183    2048 Bytes  02.04.2012 16:37:11
VBASE020.VDF  : 7.11.26.184    2048 Bytes  02.04.2012 16:37:12
VBASE021.VDF  : 7.11.26.185    2048 Bytes  02.04.2012 16:37:12
VBASE022.VDF  : 7.11.26.186    2048 Bytes  02.04.2012 16:37:12
VBASE023.VDF  : 7.11.26.187    2048 Bytes  02.04.2012 16:37:12
VBASE024.VDF  : 7.11.26.188    2048 Bytes  02.04.2012 16:37:12
VBASE025.VDF  : 7.11.26.189    2048 Bytes  02.04.2012 16:37:12
VBASE026.VDF  : 7.11.26.190    2048 Bytes  02.04.2012 16:37:12
VBASE027.VDF  : 7.11.26.191    2048 Bytes  02.04.2012 16:37:12
VBASE028.VDF  : 7.11.26.192    2048 Bytes  02.04.2012 16:37:12
VBASE029.VDF  : 7.11.26.193    2048 Bytes  02.04.2012 16:37:12
VBASE030.VDF  : 7.11.26.194    2048 Bytes  02.04.2012 16:37:12
VBASE031.VDF  : 7.11.26.234    99328 Bytes  04.04.2012 07:39:01
Engineversion  : 8.2.10.36
AEVDF.DLL      : 8.1.2.2      106868 Bytes  31.01.2012 06:55:38
AESCRIPT.DLL  : 8.1.4.15      442747 Bytes  31.03.2012 09:22:11
AESCN.DLL      : 8.1.8.2      131444 Bytes  27.03.2012 07:23:56
AESBX.DLL      : 8.2.5.5      606579 Bytes  27.03.2012 07:23:57
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 06:55:37
AEPACK.DLL    : 8.2.16.9      807287 Bytes  31.03.2012 09:22:05
AEOFFICE.DLL  : 8.1.2.26      201083 Bytes  02.04.2012 16:37:15
AEHEUR.DLL    : 8.1.4.10    4551031 Bytes  31.03.2012 09:21:53
AEHELP.DLL    : 8.1.19.1      254327 Bytes  02.04.2012 16:37:14
AEGEN.DLL      : 8.1.5.23      409973 Bytes  27.03.2012 07:23:53
AEEXP.DLL      : 8.1.0.27      82293 Bytes  31.03.2012 09:22:12
AEEMU.DLL      : 8.1.3.0      393589 Bytes  31.01.2012 06:55:34
AECORE.DLL    : 8.1.25.6      201078 Bytes  27.03.2012 07:23:52
AEBB.DLL      : 8.1.1.0        53618 Bytes  31.01.2012 06:55:33
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  31.01.2012 06:55:54
AVPREF.DLL    : 12.1.0.17      51920 Bytes  31.01.2012 06:55:51
AVREP.DLL      : 12.1.0.17    179408 Bytes  31.01.2012 06:55:51
AVARKT.DLL    : 12.1.0.23    209360 Bytes  31.01.2012 06:55:46
AVEVTLOG.DLL  : 12.1.0.17    169168 Bytes  31.01.2012 06:55:47
SQLITE3.DLL    : 3.7.0.0      398288 Bytes  31.01.2012 06:56:07
AVSMTP.DLL    : 12.1.0.17      62928 Bytes  31.01.2012 06:55:52
NETNT.DLL      : 12.1.0.17      17104 Bytes  31.01.2012 06:56:02
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  31.01.2012 06:56:32
RCTEXT.DLL    : 12.1.0.16      98512 Bytes  31.01.2012 06:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +SPR,

Beginn des Suchlaufs: Mittwoch, 4. April 2012  18:56

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'UNS.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'NASvc.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCalendarSync.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'aim.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'RemoteServer.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wrapper.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'GREGsvc.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsiwmis.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1042' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Acer>
Beginne mit der Suche in 'D:\' <DATA>


Ende des Suchlaufs: Mittwoch, 4. April 2012  20:42
Benötigte Zeit:  1:46:45 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  34032 Verzeichnisse wurden überprüft
 913515 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 913515 Dateien ohne Befall
  7222 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 805272 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
eset hat mir kein Log angeboten, aber wieder was gefunden.

Hier:

Code:
C:\Recycle.Bin\B6232F3AB35.exe        Variante von Win32/Kryptik.ADPO Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\Pit\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\1e6080bc-1968ff00        Variante von Win32/Kryptik.ADPO Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert
Gibt's da noch ein ausführliches File, wenn ja wo?

Danke & beste Grüße

kartöffel

cosinus 04.04.2012 23:04
Warum postest du jetzt ein Log von AntVir ohne Funde? Dadurch sehe ich nicht was los ist bzw war!
Und das von ESET mit den 8 Funden kommt bei diesem Log wohl auch nicht ganz hin

Wo hast du die Anleitungen zu ESET gelesen, wenn hier dann richtig lesen, da steht auch wo das Log mit allen Funden zu finden ist

Avira siehe Berichte/Ereignisse

kartöffel 04.04.2012 23:13
Meine Intention war ja rauszufinden ob das System jetzt wieder okay ist - evtl. zu kurz gedacht.

Hier also mal Avira mit den Funden:

Code:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 3. April 2012  12:00

Es wird nach 3576175 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : ACR

Versionsinformationen:
BUILD.DAT      : 12.0.0.898    41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE    : 12.1.0.20    492496 Bytes  31.01.2012 06:55:52
AVSCAN.DLL    : 12.1.0.18      65744 Bytes  31.01.2012 06:56:29
LUKE.DLL      : 12.1.0.19      68304 Bytes  31.01.2012 06:56:01
AVSCPLR.DLL    : 12.1.0.22    100048 Bytes  31.01.2012 06:55:52
AVREG.DLL      : 12.1.0.33    228104 Bytes  02.04.2012 16:37:16
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 09:49:21
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 06:56:15
VBASE002.VDF  : 7.11.19.170 14374912 Bytes  20.12.2011 06:56:21
VBASE003.VDF  : 7.11.21.238  4472832 Bytes  01.02.2012 07:23:43
VBASE004.VDF  : 7.11.26.44  4329472 Bytes  28.03.2012 07:27:31
VBASE005.VDF  : 7.11.26.45      2048 Bytes  28.03.2012 07:27:31
VBASE006.VDF  : 7.11.26.46      2048 Bytes  28.03.2012 07:27:31
VBASE007.VDF  : 7.11.26.47      2048 Bytes  28.03.2012 07:27:31
VBASE008.VDF  : 7.11.26.48      2048 Bytes  28.03.2012 07:27:31
VBASE009.VDF  : 7.11.26.49      2048 Bytes  28.03.2012 07:27:31
VBASE010.VDF  : 7.11.26.50      2048 Bytes  28.03.2012 07:27:32
VBASE011.VDF  : 7.11.26.51      2048 Bytes  28.03.2012 07:27:32
VBASE012.VDF  : 7.11.26.52      2048 Bytes  28.03.2012 07:27:32
VBASE013.VDF  : 7.11.26.53      2048 Bytes  28.03.2012 07:27:32
VBASE014.VDF  : 7.11.26.107  221696 Bytes  30.03.2012 09:20:52
VBASE015.VDF  : 7.11.26.179  224768 Bytes  02.04.2012 16:37:11
VBASE016.VDF  : 7.11.26.180    2048 Bytes  02.04.2012 16:37:11
VBASE017.VDF  : 7.11.26.181    2048 Bytes  02.04.2012 16:37:11
VBASE018.VDF  : 7.11.26.182    2048 Bytes  02.04.2012 16:37:11
VBASE019.VDF  : 7.11.26.183    2048 Bytes  02.04.2012 16:37:11
VBASE020.VDF  : 7.11.26.184    2048 Bytes  02.04.2012 16:37:12
VBASE021.VDF  : 7.11.26.185    2048 Bytes  02.04.2012 16:37:12
VBASE022.VDF  : 7.11.26.186    2048 Bytes  02.04.2012 16:37:12
VBASE023.VDF  : 7.11.26.187    2048 Bytes  02.04.2012 16:37:12
VBASE024.VDF  : 7.11.26.188    2048 Bytes  02.04.2012 16:37:12
VBASE025.VDF  : 7.11.26.189    2048 Bytes  02.04.2012 16:37:12
VBASE026.VDF  : 7.11.26.190    2048 Bytes  02.04.2012 16:37:12
VBASE027.VDF  : 7.11.26.191    2048 Bytes  02.04.2012 16:37:12
VBASE028.VDF  : 7.11.26.192    2048 Bytes  02.04.2012 16:37:12
VBASE029.VDF  : 7.11.26.193    2048 Bytes  02.04.2012 16:37:12
VBASE030.VDF  : 7.11.26.194    2048 Bytes  02.04.2012 16:37:12
VBASE031.VDF  : 7.11.26.198    29184 Bytes  02.04.2012 16:37:13
Engineversion  : 8.2.10.36
AEVDF.DLL      : 8.1.2.2      106868 Bytes  31.01.2012 06:55:38
AESCRIPT.DLL  : 8.1.4.15      442747 Bytes  31.03.2012 09:22:11
AESCN.DLL      : 8.1.8.2      131444 Bytes  27.03.2012 07:23:56
AESBX.DLL      : 8.2.5.5      606579 Bytes  27.03.2012 07:23:57
AERDL.DLL      : 8.1.9.15      639348 Bytes  31.01.2012 06:55:37
AEPACK.DLL    : 8.2.16.9      807287 Bytes  31.03.2012 09:22:05
AEOFFICE.DLL  : 8.1.2.26      201083 Bytes  02.04.2012 16:37:15
AEHEUR.DLL    : 8.1.4.10    4551031 Bytes  31.03.2012 09:21:53
AEHELP.DLL    : 8.1.19.1      254327 Bytes  02.04.2012 16:37:14
AEGEN.DLL      : 8.1.5.23      409973 Bytes  27.03.2012 07:23:53
AEEXP.DLL      : 8.1.0.27      82293 Bytes  31.03.2012 09:22:12
AEEMU.DLL      : 8.1.3.0      393589 Bytes  31.01.2012 06:55:34
AECORE.DLL    : 8.1.25.6      201078 Bytes  27.03.2012 07:23:52
AEBB.DLL      : 8.1.1.0        53618 Bytes  31.01.2012 06:55:33
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  31.01.2012 06:55:54
AVPREF.DLL    : 12.1.0.17      51920 Bytes  31.01.2012 06:55:51
AVREP.DLL      : 12.1.0.17    179408 Bytes  31.01.2012 06:55:51
AVARKT.DLL    : 12.1.0.23    209360 Bytes  31.01.2012 06:55:46
AVEVTLOG.DLL  : 12.1.0.17    169168 Bytes  31.01.2012 06:55:47
SQLITE3.DLL    : 3.7.0.0      398288 Bytes  31.01.2012 06:56:07
AVSMTP.DLL    : 12.1.0.17      62928 Bytes  31.01.2012 06:55:52
NETNT.DLL      : 12.1.0.17      17104 Bytes  31.01.2012 06:56:02
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  31.01.2012 06:56:32
RCTEXT.DLL    : 12.1.0.16      98512 Bytes  31.01.2012 06:56:32

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +SPR,

Beginn des Suchlaufs: Dienstag, 3. April 2012  12:00

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NASvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'javaw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleCalendarSync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aim.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RemoteServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wrapper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SchedulerSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GREGsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dsiwmis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Windows\Sysnative\drivers\sptd.sys
  [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Die Registry wurde durchsucht ( '688' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Acer>
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VC5MGF59\91_232_29_74[1].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VC5MGF59\91_232_29_74[2].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP
C:\Users\Pit\AppData\Local\Temp\Comodo\Firewall Pro\Data\TempFiles\cfpconfg.exe.7z
  [WARNUNG]  Die Datei konnte nicht gelesen werden!
Beginne mit der Suche in 'D:\' <DATA>

Beginne mit der Desinfektion:
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VC5MGF59\91_232_29_74[2].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP
  [HINWEIS]  Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]  Die Datei existiert nicht!
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VC5MGF59\91_232_29_74[1].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP
  [HINWEIS]  Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
  [HINWEIS]  Die Datei existiert nicht!


Ende des Suchlaufs: Dienstag, 3. April 2012  14:39
Benötigte Zeit:  1:55:42 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  34595 Verzeichnisse wurden überprüft
 992170 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 992167 Dateien ohne Befall
  7866 Archive wurden durchsucht
      2 Warnungen
      2 Hinweise
und hier eset:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=31a5ea0bf119ef49b76400e6552a5c45
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-03 03:06:18
# local_time=2012-04-03 05:06:18 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 626418 626418 0 0
# compatibility_mode=3073 16777214 0 7 943947 943950 0 0
# compatibility_mode=5893 16776574 100 94 23237626 85089223 0 0
# compatibility_mode=8192 67108863 100 0 352 352 0 0
# scanned=178057
# found=9
# cleaned=9
# scan_time=6204
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8BPNR4XV\show_cu[1].js        JS/TrojanClicker.Agent.NCQ Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\8BPNR4XV\video-1-baby+laugh+news[1].htm        JS/TrojanClicker.Agent.NBN Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\XPF4PW60\mygateway_iframe_loader[1].htm        HTML/ScrInject.B.Gen Virus (gelöscht - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\XPF4PW60\video+anna[1].htm        JS/TrojanClicker.Agent.NBN Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Users\Pit\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\XPF4PW60\video[1].htm        HTML/ScrInject.B.Gen Virus (gelöscht - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Users\Pit\AppData\Local\Temp\arg65035.exe        Variante von Win32/Kryptik.ADOE Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Users\Pit\Documents\SuperOneClickv1.9.5-ShortFuse\Exploits\psneuter        Android/Exploit.Lotoor.AK Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Users\Pit\Documents\SuperOneClickv2.1.1-ShortFuse\Exploits\psneuter        Android/Exploit.Lotoor.AK Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
D:\DL\SuperOneClickv2.3.3-ShortFuse\Exploits\psneuter        Android/Exploit.Lotoor.AK Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=31a5ea0bf119ef49b76400e6552a5c45
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-04 08:34:29
# local_time=2012-04-04 10:34:29 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 732505 732505 0 0
# compatibility_mode=3073 16777214 0 7 1050034 1050037 0 0
# compatibility_mode=5893 16776574 100 94 23343713 85195310 0 0
# compatibility_mode=8192 67108863 100 0 106439 106439 0 0
# scanned=178690
# found=2
# cleaned=2
# scan_time=6208
C:\Recycle.Bin\B6232F3AB35.exe        Variante von Win32/Kryptik.ADPO Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Users\Pit\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\1e6080bc-1968ff00        Variante von Win32/Kryptik.ADPO Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
ESETSmartInstaller@High as downloader log:
all ok
Thx
kartöffel

edit: im eset ordner ist nur ein log.txt, da scheint aber auch vergangenes drin zu sein, richtig?

cosinus 04.04.2012 23:24
Ja genau, deswegen sollte das ja auch gepostet werden!

Zitat:
C:\Users\Pit\AppData\Local\Temp\Comodo\Firewall Pro\Data\TempFiles\cfpconfg.exe.7z
Kennst du das?
Hast du Comodo noch installiert?
Eine zusätzliche bzw. andere Software-Firewall und v.a. sowas wie SecuritySuites sind Quatsch mit Sauce, in vielen Fällen kontraproduktiv und Ursache für die "lustigsten" Fehler.
Bitte umgehend deinstallieren, Windows danach neustarten und sicherstellen, dass die Windows-Firewall aktiv ist und keine gefährlichen "Löcher" (siehe Ausnahmeliste) hat.

kartöffel 04.04.2012 23:53
Ja, hab ich vor einiger Zeit schon deinstalliert und benutze wieder Windows Firewall.
Ist sonst alles im Lot, wenn Du nur das fragst??

cosinus 05.04.2012 09:53
Ok, dann ist ja gut. Bevor ich fixen kann muss ich manche Unklarheiten erst klären, wir sind hier noch nicht durch

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

kartöffel 05.04.2012 10:08
Bin jetzt im Büro (ohne meinen Rechner), das Startmenü kann ich also gerade nicht checken leider.
Hab den Rechner eigentlich seit dem Problem nur noch für das Nötigste (also für hier und Virensuchläufe) benutzt, da ging der normale Modus problemfrei.
Alles weitere kann dann leider erst heute Abend weitergehen.

Danke & bis dann!

So jetzt =)

Nach wie vor startet der normale Modus ganz normal, AnitiVir startet sich auch mit, ebenfalls die gewünschten Autostart-Programme.
In "Alle Programme" ist mir bei Durchsicht nichts ungewöhnliches aufgefallen. Alle Ordner haben auch Inhalt.

Beste Grüße
kartöffel

Zitat:
Zitat von cosinus (Beitrag 809061)
Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
ich versuche mal mit Quote, da meine Ergänzung (s.o.) leider die Zeit meines letzten Posts nicht aktualisiert hat, und somit der Beitrag wohl nicht wahrgenommen wird vermute ich...
Sorry falls das eigentlich unerwünscht ist!


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131