Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Seit Websitebesuch finden AntiVir & M Security Essentials minütlich Viren/Trojaner! (https://www.trojaner-board.de/126389-seit-websitebesuch-finden-antivir-m-security-essentials-minuetlich-viren-trojaner.html)

supidupi90 01.11.2012 21:27
Seit Websitebesuch finden AntiVir & M Security Essentials minütlich Viren/Trojaner!
 
Hallo Ihr Lieben,

nach dem Klicken auf einen fragwürdigen Link öffnete sich bei mir eine Seite, wie ich sie sonst nur bei Trojanern kannte (Benachrichtigung über Virenbefund auf der Seite, Bildschirm wurde davon überstrahlt etc.). Ich habe schnell den PC runtergefahren und LAN-Stecker gezogen, bin aber wohl befallen;
Bekomme seitdem teilweise minütlich neue Virusmeldungen von AntiVir und Microsoft Security Essentials.
Habe jetzt den PC ein paar Mal mit MSE "bereinigen" lassen und neu gestartet, momentan kommen kaum noch Meldungen, bin aber sicher dass der Virus/Trojaner noch drauf ist. Lasse gerade Anti-Malware einen Komplett-Scan durchführen.

Leider kann ich keine Systemwiederherstellung machen, weil die Systemwiederherstellungspunkte alle gelöscht wurden. Unmittelbar nach dem Befall hatte ich es schonmal damit probiert, konnte aber nicht fertig gestellt werden, hatte nach der Wiederherstellung unmittelbar Bluescreen mit einem STOP-Fehler (weiß leider nicht genau welchen).

Bin sehr beunruhigt und würde gerne sicherstellen, dass ich den Virus/Trojaner wieder runterbekomme. Was kann ich eurer Meinung nach tun?

Viele liebe Grüße,
Christian

markusg 01.11.2012 21:28
hi
1. sende mir den link zur seite mal als private nachicht.
2. benötige ich alle fundmeldungen und die berichte vo scans hier im thema

supidupi90 03.11.2012 14:46
Hi Markus,

schicke dir sofort den Link.

Hier meine Auswertung von Malwarebytes, hat nichts gefunden. Ist aber auch ne ältere Version, vllt sollte ich mal updaten...:
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4453

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

02.11.2012 01:25:57
mbam-log-2012-11-02 (01-25-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 358143
Laufzeit: 1 Stunde(n), 46 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hier jedoch mein Bericht von einem der Microsoft Security Essentials-Nachrichten
Zitat:
Kategorie: Trojaner

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.

Elemente:
file:C:\Users\(Username)\AppData\Local\Temp\wgsdgsdgdsgsd.exe

Online weitere Informationen zu diesem Element abrufen
Wenn ich auf "Online weitere Informationen abrufen" klicke, komme ich auf diese Seite:

Zitat:
hxxp://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aWin32%2fReveton.F&threatid=2147658474
Der auf dieser Seite dargestellte Screenshot ist auch genau die Seite, auf der ich war. Das ist also wohl der Trojaner den ich habe.

Hier sind weitere LInks zu den Online-Informationen von Logs, die ich unter Quarantäne habe seit dem Befund:

Zitat:
hxxp://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aJava%2fBlacole.GS&threatid=2147666642
Zitat:
hxxp://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aWin32%2fPdfjsc.ADQ&threatid=2147665118
Zitat:
hxxp://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aWin32%2fReveton.F!lnk&threatid=2147664352
Zitat:
hxxp://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aJava%2fBlacole.GS&threatid=2147666642
Zitat:
hxxp://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aJava%2fCVE-2010-4452.BB&threatid=2147665447
Immer wieder kam dieser "Reveton" vor, habe die jetzt alle unter Quarantäne.

LG Christian

markusg 03.11.2012 14:55
hi
sind noch mehr fundmeldungen da? benötig schon alle

supidupi90 03.11.2012 17:31
Hi Markus,

hab jetzt eben versucht einen Durchgang mit SUPERAntispyware zu fahren. MItten drin ist mir der PC abgeschmiert mit BlueScreen, "STOP", irgendwas mit "KERNEL" hab ich noch gelesen.

Kannst Du bitte sagen, was Du sonst nocvh genau benötigst??

LG
Christian

supidupi90 04.11.2012 21:14
Hallo markus,

habe jetzt noch einen Bericht mit AntiVir gefahren:

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 4. November 2012 11:35


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows (TM) Vista Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : ****
Computername : ****

Versionsinformationen:
BUILD.DAT : 13.0.0.2735 48280 Bytes 26.10.2012 10:11:00
AVSCAN.EXE : 13.4.0.235 637728 Bytes 17.10.2012 14:55:14
AVSCANRC.DLL : 13.4.0.219 64800 Bytes 09.10.2012 13:49:58
LUKE.DLL : 13.4.0.232 67360 Bytes 16.10.2012 17:05:31
AVSCPLR.DLL : 13.4.0.232 93984 Bytes 16.10.2012 16:58:17
AVREG.DLL : 13.4.0.232 245536 Bytes 16.10.2012 16:57:43
avlode.dll : 13.4.0.240 426272 Bytes 25.10.2012 13:40:31
avlode.rdf : 13.0.0.24 7196 Bytes 27.09.2012 10:30:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 14:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 14:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 14:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 14:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 14:42:40
VBASE007.VDF : 7.11.45.207 2363904 Bytes 11.10.2012 15:52:17
VBASE008.VDF : 7.11.45.208 2048 Bytes 11.10.2012 15:52:17
VBASE009.VDF : 7.11.45.209 2048 Bytes 11.10.2012 15:52:17
VBASE010.VDF : 7.11.45.210 2048 Bytes 11.10.2012 15:52:17
VBASE011.VDF : 7.11.45.211 2048 Bytes 11.10.2012 15:52:17
VBASE012.VDF : 7.11.45.212 2048 Bytes 11.10.2012 15:52:17
VBASE013.VDF : 7.11.45.213 2048 Bytes 11.10.2012 15:52:17
VBASE014.VDF : 7.11.46.65 220160 Bytes 16.10.2012 12:34:30
VBASE015.VDF : 7.11.46.153 173568 Bytes 18.10.2012 09:35:47
VBASE016.VDF : 7.11.46.223 162304 Bytes 19.10.2012 09:35:47
VBASE017.VDF : 7.11.47.35 126464 Bytes 22.10.2012 07:59:23
VBASE018.VDF : 7.11.47.95 175616 Bytes 24.10.2012 12:50:08
VBASE019.VDF : 7.11.47.177 164352 Bytes 26.10.2012 22:18:18
VBASE020.VDF : 7.11.47.229 143360 Bytes 28.10.2012 22:18:18
VBASE021.VDF : 7.11.48.47 138240 Bytes 30.10.2012 22:18:18
VBASE022.VDF : 7.11.48.135 122880 Bytes 01.11.2012 22:18:19
VBASE023.VDF : 7.11.48.136 2048 Bytes 01.11.2012 22:18:19
VBASE024.VDF : 7.11.48.137 2048 Bytes 01.11.2012 22:18:20
VBASE025.VDF : 7.11.48.138 2048 Bytes 01.11.2012 22:18:20
VBASE026.VDF : 7.11.48.139 2048 Bytes 01.11.2012 22:18:20
VBASE027.VDF : 7.11.48.140 2048 Bytes 01.11.2012 22:18:20
VBASE028.VDF : 7.11.48.141 2048 Bytes 01.11.2012 22:18:20
VBASE029.VDF : 7.11.48.142 2048 Bytes 01.11.2012 22:18:20
VBASE030.VDF : 7.11.48.143 2048 Bytes 01.11.2012 22:18:20
VBASE031.VDF : 7.11.48.200 109056 Bytes 04.11.2012 10:29:05
Engineversion : 8.2.10.187
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 14:42:55
AESCRIPT.DLL : 8.1.4.60 463227 Bytes 05.10.2012 12:15:11
AESCN.DLL : 8.1.9.2 131444 Bytes 26.09.2012 14:54:07
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 16:58:06
AERDL.DLL : 8.1.9.15 639348 Bytes 27.08.2012 14:50:15
AEPACK.DLL : 8.3.0.38 811382 Bytes 28.09.2012 11:24:10
AEOFFICE.DLL : 8.1.2.48 201082 Bytes 24.09.2012 14:06:59
AEHEUR.DLL : 8.1.4.118 5423480 Bytes 12.10.2012 15:52:32
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 15:52:32
AEGEN.DLL : 8.1.5.38 434548 Bytes 26.09.2012 14:54:07
AEEXP.DLL : 8.2.0.6 115060 Bytes 12.10.2012 15:52:32
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:55
AECORE.DLL : 8.1.28.2 201079 Bytes 26.09.2012 14:54:07
AEBB.DLL : 8.1.1.3 53621 Bytes 22.10.2012 09:36:01
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 18:09:30
AVPREF.DLL : 13.4.0.163 50464 Bytes 19.09.2012 18:07:51
AVREP.DLL : 13.4.0.214 179240 Bytes 03.11.2012 22:18:21
AVARKT.DLL : 13.4.0.232 260384 Bytes 16.10.2012 16:55:29
AVEVTLOG.DLL : 13.4.0.232 167200 Bytes 16.10.2012 16:56:35
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 18:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 18:08:54
NETNT.DLL : 13.4.0.163 15648 Bytes 19.09.2012 18:16:26
RCIMAGE.DLL : 13.4.0.163 4780832 Bytes 19.09.2012 18:21:16
RCTEXT.DLL : 13.4.0.163 68384 Bytes 19.09.2012 18:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Sonntag, 4. November 2012 11:35

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Users\****\Pictures\2012\Ende 6. Semester
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Adobe
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Aureal
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\CyberLink
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\DivXNetworks
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\DMA Design Ltd
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Full Tilt Poker
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Hewlett-Packard
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\AudioCompressionManager
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Direct3D
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\DownloadManager
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Default MHTML Editor
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\MediaPlayer
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\RAS AutoDial
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Microsoft\RFC1156Agent
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'STacSV64.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'AESTSr64.exe' - '5' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.EXE' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftservice.EXE' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'NisSrv.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '139' Modul(e) wurden durchsucht
Durchsuche Prozess 'STService.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray64.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmdSync.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'Steam.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'PPAP.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDDXSrv.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'FacebookMessenger.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'msseces.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '142' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '137' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarUser_32.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '132' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '142' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '131' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '138' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '138' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '140' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '124' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '131' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '142' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '122' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.BIN' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'SteamService.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPEnc.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1769' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:' <OS>
[0] Archivtyp: RSRC
--> C:\Users\****\AppData\Roaming\Dropbox\bin\Dropbox.exe
[1] Archivtyp: RSRC
--> C:\Program Files (x86) (x86)\Dropbox\My Dropbox\.dropbox.cache\Dropbox-update-1.1.35.exe
[2] Archivtyp: NSIS
--> C:\Users\****\AppData\Local\Temp\jre-6u21-windows-i586-iftw-rv.exe
[3] Archivtyp: Runtime Packed
--> C:\Users\****\AppData\Local\Temp\jre-6u22-windows-i586-iftw-rv.exe
[4] Archivtyp: Runtime Packed
--> C:\Users\****\AppData\Local\Temp\jre-6u35-windows-i586-iftw.exe
[5] Archivtyp: Runtime Packed
--> C:\Users\****\AppData\Local\Temp\jre-6u37-windows-i586-iftw.exe
[6] Archivtyp: Runtime Packed
--> C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\79d81d1e-2521cd32
[7] Archivtyp: ZIP
--> photo/Crop.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.FI
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> photo/ExtResolution.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Blacole.BO.1
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> photo/Image.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Blacole.BP
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> photo/MultiZoom.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Blacole.BQ
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> photo/Zoom.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\79d81d1e-2521cd32
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
--> C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\58a80785-5dbeac1a
[7] Archivtyp: ZIP
--> main.class
[FUND] Ist das Trojanische Pferd TR/Maljava.A.20
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\58a80785-5dbeac1a
[FUND] Ist das Trojanische Pferd TR/Maljava.A.20

Beginne mit der Desinfektion:
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\58a80785-5dbeac1a
[FUND] Ist das Trojanische Pferd TR/Maljava.A.20
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '577b6a27.qua' verschoben!
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\79d81d1e-2521cd32
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fe14581.qua' verschoben!


Ende des Suchlaufs: Sonntag, 4. November 2012 21:03
Benötigte Zeit: 9:27:53 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

42082 Verzeichnisse wurden überprüft
866518 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
866512 Dateien ohne Befall
10895 Archive wurden durchsucht
6 Warnungen
18 Hinweise
799406 Objekte wurden beim Rootkitscan durchsucht
16 Versteckte Objekte wurden gefunden
Ich denke von den 6 Funden waren schon 4 von MSE unter Quarantäne, deswegen konnte AntiVir die nichtmehr unter Q setzen.

Habe jetzt alle (die bei MSE und Antivir) die unter Quarantäne waren, gelöscht.

Was nun? Kann ich jetzt sicher sein, dass alles OK ist?

markusg 05.11.2012 15:14
wieso neue berichte, ich hab gefragt, ob noch weitere alte berichte vorhanden sind, die wollte ich sehen


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131