|
Logfile nach Malwarebytes... bitte mal schauen ob so ok Hallo, gestern hab ich entdeckt das ich offenbar mehr als einen Trojaner auf meinem PC habe. Habe soeben, wie hier beschrieben, Malwarebytes laufen lassen, es waren sage und schreibe 47 Trojaner/Viren etc. drauf... habe alles gelöscht und hier ist das Ergebnis... muss ich jetzt nochwas machen oder ist damit alles ok?? Habe leider nicht so die Ahnung von der ganzen Materie! Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1070 Windows 5.1.2600 Service Pack 2 10:17:23 19.08.2008 mbam-log-08-19-2008 (10-17-23).txt Scan-Methode: Vollständiger Scan (C:\|G:\|) Durchsuchte Objekte: 85118 Laufzeit: 21 minute(s), 25 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 12 Infizierte Dateien: 23 Infizierte Speicherprozesse: C:\WINDOWS\system32\lphce8ej0e55a.exe (Trojan.FakeAlert) -> Unloaded process successfully. Infizierte Speichermodule: C:\WINDOWS\system32\blphce8ej0e55a.scr (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhca8ej0e55a (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphce8ej0e55a (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Programme\Microsoft Security Adviser (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\**********\Anwendungsdaten\rhca8ej0e55a (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\**********\Anwendungsdaten\rhca8ej0e55a\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\**********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*************\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\************\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\**************\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Anwendungsdaten\rhca8ej0e55a\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\Microsoft Security Adviser\mssadv_sp.log (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\****** *******\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blphce8ej0e55a.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lphce8ej0e55a.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phce8ej0e55a.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\**********\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*************\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*************\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*************\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. Bei Malwarebytes sind jetzt aber auch noch 24 Objekte in Quarantäne... muss ich die löschen? Hab aber doch bei Ergebnisse anzeigen schon alle markierten gellöscht, wozu sind da jetzt noch welche unter Quaratäne?? Sorry wenn ich so blöd frage, aber ich kenn mich da echt nicht aus... Vielen Dank schonmal!! |
Hi, unter Quarantäne heisst sie sind inaktiv, können aber wiederhergestellt werden (wenn nicht eindeutig geklärt ist, ob es sich tatsächlich um einen Trojaner/Virus etc. handelt ist das besser als löschen, dann sind sie weg...). Ganz "ohne" ist es nicht, der Trojaner erlaubt(e) den Zugriff auf Deinen Rechner: * The Process is packed and/or encrypted using a software packing process * Can communicate with other computer systems using HTTP protocols * Writes to another Process's Virtual Memory (Process Hijacking) * This Process Deletes Other Processes From Disk * Adds a Registry Key (RUN) to auto start Programs on system start up * This Process Creates Other Processes On Disk * Executes a Process * Creates a TCP port which listens and is available for communication initiated by other computers * Looks at the contents of the autoexec.bat file * Reads email address and phone book details * Visits web sites on your PC without you knowing * Adds Products to the system registry Da er auch ein Port öffnet, solltest Du eigentlich neu aufsetzten... So, bitte noch combofix und PrevX ausführen.... PrevX: http://www.prevx.com/freescan.asp Poste das Log nach dme Scann bzw. nur ev. Funde! Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird chris |
Hallo, hier der neue Logfile ComboFix 08-08-18.04 - ********** 2008-08-19 10:59:48.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.600 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\*****************\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\************\UserData C:\Dokumente und Einstellungen\**************\UserData\index.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SYSREST.SYS -------\Service_sysrest.sys ((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 )))))))))))))))))))))))))))))) . 2008-08-19 10:54 . 2008-08-19 10:54 <DIR> d-------- C:\Programme\PrevxCSI 2008-08-19 10:54 . 2008-08-19 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI 2008-08-19 10:54 . 2008-08-19 10:54 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys 2008-08-19 09:51 . 2008-08-19 09:51 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-19 09:51 . 2008-08-19 09:51 <DIR> d-------- C:\Dokumente und Einstellungen\******* *********+\Anwendungsdaten\Malwarebytes 2008-08-19 09:51 . 2008-08-19 09:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-19 09:51 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-19 09:51 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-18 19:58 . 2008-08-18 19:58 <DIR> d-------- C:\NVIDIA 2008-08-18 19:58 . 2008-08-18 19:59 163,353 --a------ C:\WINDOWS\system32\nvapps.xml 2008-08-18 19:58 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu 2008-08-18 16:56 . 2008-08-18 16:56 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM 2008-08-18 16:54 . 2008-08-18 16:54 18,944 --a------ C:\0xf9.exe 2008-08-04 09:30 . 2008-07-03 12:49 3,342 --a------ C:\WINDOWS\TM.INI 2008-08-04 09:30 . 2008-07-03 12:49 42 --a------ C:\WINDOWS\TDF.DII . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-19 07:25 --------- d-----w C:\Programme\SMSC 2008-08-19 06:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-08-14 13:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-08-04 06:56 --------- d-----w C:\Programme\Google 2008-07-09 14:31 --------- d-----w C:\Programme\Microsoft SQL Server 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-10 10:06 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe" [2005-01-15 13:24 32881] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 14:35 266497] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\WIBUKEY\\Server\\WkSvW32.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"= R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-08-19 10:54] R2 CSIScanner;CSIScanner;C:\Programme\PrevxCSI\prevxcsi.exe [2008-08-19 10:54] R2 HRService;Haufe iDesk-Service in G:\Programme\Haufe\iDesk\iDeskService\Zope;G:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe [2006-11-07 04:43] R2 WKSVW32;WIBU-KEY Server;C:\PROGRAMME\WIBUKEY\SERVER\WkSvW32.exe [2005-04-15 06:00] R3 Wibukey2;Wibukey2;C:\WINDOWS\system32\drivers\wibukey2.sys [2004-09-02 05:10] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe HKLM-Run-SetIcon - \Program Files\SMSC\SetIcon.exe . ------- Zus„tzlicher Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.google.de/ O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 -: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-19 11:02:18 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\j2re1.4.2_07\bin\jucheck.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\PROGRA~1\WinZip\WZQKPICK.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe G:\Programme\Haufe\iDesk\iDeskService\python.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\imapi.exe C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-19 11:04:20 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-19 09:04:15 Pre-Run: 10 Verzeichnis(se), 48,396,726,272 Bytes frei Post-Run: 13 Verzeichnis(se), 48,393,699,328 Bytes frei 125 --- E O F --- 2008-08-14 13:50:06 So, wie siehts jetzt aus?? |
Hi, sieht sauber aus (bis auf eine Sache), Dein JAVA ist total veraltet.. Was ist das hier: C:\0xf9.exe Onlinescannen lassen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat:
Deine Javasoftware ist veraltet, Download jre-6u7-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe” Bitte noch PrevX posten... chris |
So, Ergebnis von Virustotal: Datei 0xf9.exe empfangen 2008.08.18 19:12:32 (CET) Status: Beendet Ergebnis: 8/36 (22.22%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - HEUR/Malware Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - Suspicious File eTrust-Vet - - - Ewido - - - F-Prot - - - F-Secure - - Suspicious:W32/Malware!Gemini Fortinet - - - GData - - - Ikarus - - - K7AntiVirus - - - Kaspersky - - - McAfee - - - Microsoft - - TrojanDownloader:Win32/VB.AAG NOD32v2 - - a variant of Win32/TrojanDownloader.VB.NPK Norman - - - Panda - - Suspicious file PCTools - - - Prevx1 - - - Rising - - - Sophos - - - Sunbelt - - - Symantec - - Downloader.MisleadApp TheHacker - - - TrendMicro - - - VBA32 - - - ViRobot - - - VirusBuster - - - Webwasher-Gateway - - Heuristic.Malware weitere Informationen MD5: d12597cb47ef0e2705cf35b96b7df77b SHA1: f9af3405f2790587d3d6e16a661b505f4ae8e1df SHA256: 566247a6ff2e4cce57b31e3c4bfc4a4d4280dce57813e31483742cd4c4334755 SHA512: 9985e7ae4cf9f7056f1577162a2726efc0695d813f9d43cf633eb752529081bc4654e02aa55714d53c986925a31eedafb070fdff0bc1adf98908b8160c75fea7 Was mache ich damit???? PrevX hat keine infizierten Dateien gefunden, daher hatte ichs nicht gepostet! Mein altes Java werde ich später erneuern, wenn ich die ganzen bösen Sachen los bin :) |
Hi, einen Aufruf konnte ich nicht identifizieren (aber das muss nichts heissen), versuche die Datei im abgesicherten Modus umzubenennen, keinesfalls ausführen). Hah, besser versuche sie einfach so umzubenennen, wenn das nicht geht dann läuft das Ding im Hintergrund, dann in den abgesicherten Mode gehen (Neu booten, beim Booten F8 drücken). Wie folgt umbenennen: 0xf9.exe nach 0xf9.exe.vir Damit ist die Datei nicht mehr ausführbar und kann von eventuell vorhanden, unsichtbaren Starteinträgen nicht mehr gefunden werden.... chris Ps.: Es sind dann noch "verwaiste" Serviceeinträge da (Legacy_SYSREST.SYS und Service_sysrest.sys), das ist unschön, aber da die Dateien "weg" sind, sollte das kein Problem sein. Es sei denn Du willst sie loshaben, dann müssen wir noch was tun... So, Mittagspause... |
Hi, hab jetzt mal explizit gesucht und das hier gefunden: 0XF9.EXE-059E78B4.pf C:\WINDOWS\Prefetch PF-Datei Unbekannte Anwendung 36KB und nochmal 0xf9 Anwendung C:\ Beschreibung:aaaaaa 19KB Sind das Viren? Kann ich die nicht einfach löschen?? Verwaiste Einträge? Na ja was heisst stören, können die Schaden anrichten? Wo ich schon dabei bin könnte ich die ja auch grad noch entfernen... denke ich mir... Ja bald hab ich auch Mittagspause! Dank Dir schonmal für Deine tolle Hilfe! Echt super! Gibts hier im Board irgendwo noch allgemein Infos zu Sicherheit, Antivirenzeugs und so?? Ich glaube ich hab nur XP service Pack2 drauf, ist das ein Problem? Benutze den IE, soll ich besser auf Firefox umsteigen? Was ist mit Auto-Updates von Microsoft, aktivieren? Sonst irgendwelche Sachen die man unbedingt machen sollte oder unbedingt lassen sollte? Hab bisher Avira Antivir benutzt, ist die nicht so dolle? Oder besser regelmässig sowas wie heute machen? Sorry für die vielen Fragen aber das ist mein Firmen-PC mit einem Fibu Programm mit locker über 10000 Einzelbuchungen, wenn ich mir das abschiesse dann erschiess ich mich gleich mit dazu... |
Hi, müsstest Du löschen können... . Dann denk bitte unbedingt an ein gutes Backup, Daten von Programmen/Windows trennen (andere Festplatte/Partition) und vielleicht mit diesem PC nicht unbedingt surfen... Weiterhin eine Firewall einrichten (eine richtige, nicht unbedingt die von Windows), z. B. Zonealarm (http://www.chip.de/downloads/ZoneAlarm_13013718.html), und ja, Firefox ist sicherer, dort kannst Du dann auch NoScript und Dr.Web-Linkscanner einrichten (Addons). Weiterhin kannst Du den Browser so einrichten, dass er in einer Sandbox läuft (http://www.sandboxie.com/) (d.h. alles was Du in der Sandbox machst passiert nur in ihr, Viren etc. sind darin "eingesperrt" und können beliebig gelöscht werden, es sei denn Du erlaubst den "Ausbruch")... Du solltest unbedingt auf SP3 aufrüsten (Vollbackup vorher machen)! http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=de Aber meistens sitzt das Problem vor dem Rechner, klickt alle Links an, öffnet alle Dateianhänge und führt alle möglichen Programme aus zweifelhaften Quellen aus... ;o).... Und dann nutzt eigentlich nichts wirklich... Da noch einige MBR-Rootkits unterweg sind, machen wir noch einen kurzen Check... MBR-Rootkit Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
poste es im Thread; chris |
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK war das jetzt alles?? oder muss ich da noch was anderes machen? Hab mbr gestartet, Bildschirm hat kurz geflackert, dann kam eine neue Textdatei auf den Desktop mbr.txt... und da steht das oben geschriebene drin... |
Hi, Okay, nein das war alles... Da combofix jeden Tag neu erstellt wird, kannst Du Ihn deinstallieren: Start->Ausführen->combofix /u chris |
Hallo, ok mach ich. Hab leider wohl doch noch nicht alles erwischt, weil heute nachmittag nochmal von Antivir ne Meldung kam... seltsam eigentlich, oder? Werde mich morgen früh nochmal melden wegem dem nochmaligen Fund, weil ich jetzt zu Hause bin und meinen Laptop "reinigen" werde... Dank Dir für Deien Hilfe! |
Hi, was hat Antivir wo gemeldet? chris |
Anscheinend hat ANtivir nochmal irgendeinen Virus gemeldet, heute nachmittag, NACHDEM eigentlich alles gelöscht sein sollte... weiss nicht genau was, ich arbeite nur bis mittags, mus also morgen früh schauen was da jetzt noch ist. |
Hallo, ist irgendein Crash.Gen.... was nun? |
Hier nochmal ein neuer Logfile... demnach sollte alles sauber sein ?! Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1070 Windows 5.1.2600 Service Pack 2 10:24:36 20.08.2008 mbam-log-08-20-2008 (10-24-36).txt Scan-Methode: Vollständiger Scan (C:\|G:\|) Durchsuchte Objekte: 86874 Laufzeit: 22 minute(s), 24 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Wieso meldet Antivir dann ständig was? Ist es möglich, das Antivir die noch in Quaratäne steckenden Trojaner meldet?? |
Hi, nein Avira meldet keine Sachen die bereits in Quarantäne sind. Aber Du kannst im Log von Avira nachsehen, was da wo gefunden wurde. Poste das Log oder lasse Avira noch mal komplett suchen... Dazu das Controllcenter öffnen, unter Übersicht Ereignissse auswählen (ich habe hier kein Avira, mein Gedächnis...). Dort kannst Du dann filtern (Guard, bzw. Scanner).... Dann abkopieren und hier posten... chris |
Hab nochmal einen kompletten Scan mit Antivir gemacht, hier das Ergebnis: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 20. August 2008 10:31 Es wird nach 1563576 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: *********** Computername: SATZINGER Versionsinformationen: BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 12:35:01 AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 12:35:01 LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 12:35:01 LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 12:35:01 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 06:43:14 ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 05:31:51 ANTIVIR3.VDF : 7.0.6.38 175104 Bytes 19.08.2008 05:30:29 Engineversion : 8.1.1.23 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.68 315770 Bytes 19.08.2008 05:39:45 AESCN.DLL : 8.1.0.23 119156 Bytes 16.07.2008 05:37:26 AERDL.DLL : 8.1.0.20 418165 Bytes 24.05.2008 07:36:55 AEPACK.DLL : 8.1.2.1 364917 Bytes 16.07.2008 05:37:25 AEOFFICE.DLL : 8.1.0.22 192890 Bytes 19.08.2008 05:39:43 AEHEUR.DLL : 8.1.0.50 1388918 Bytes 19.08.2008 05:39:42 AEHELP.DLL : 8.1.0.15 115063 Bytes 30.05.2008 05:40:45 AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 05:39:37 AEEMU.DLL : 8.1.0.7 430452 Bytes 01.08.2008 05:31:10 AECORE.DLL : 8.1.1.8 172406 Bytes 01.08.2008 05:31:09 AEBB.DLL : 8.1.0.1 53617 Bytes 18.07.2008 12:35:01 AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 12:35:01 AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 12:35:01 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 05:31:07 AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 12:35:01 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 12:35:01 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 12:35:01 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 12:34:59 RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 12:34:59 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, G:, E:, F:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Mittwoch, 20. August 2008 10:31 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '29792' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'python.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WkSvW32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ideskservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'prevxcsi.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'prevxcsi.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WZQKPICK.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Im Laufwerk 'E:\' ist kein Datenträger eingelegt! Bootsektor 'F:\' [INFO] Im Laufwerk 'F:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '56' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'G:\' <Volume> Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Ende des Suchlaufs: Mittwoch, 20. August 2008 10:56 Benötigte Zeit: 24:24 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 5726 Verzeichnisse wurden überprüft 277696 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 277695 Dateien ohne Befall 2661 Archive wurden durchsucht 3 Warnungen 0 Hinweise 29792 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Wieso konnte da was nicht geöffnet werden? |
Hi, das ist das Pagefile, da lagert Windows speicher aus, darum ist es von Windows gesperrt... Das andere sind wohl USB-Laufwerke, die nicht angeschlossen sind, oder? Hast Du das Log von Avira einsehen können? chris |
Das sind Wechseldatenträger. Ehm, irgendwie lässt sich das nicht abkopieren... ich habe heute morgen 3x einen Malware Fund gehabt, DANACH habe ich nochmal Anti-Malwarebytes und einen kompletten Scan von AntiVir laufen lassen, beide waren sauber (hab ich ja gepostet). Hier hab ich die drei Malware mal abkopiert (dazu muss man aber jeden Fund separat anklicken :( ) In der Datei 'C:\System Volume Information\_restore{62D0B474-0124-4E38-ADD9-41679D247148}\RP11\A0001887.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.VB.gvb' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'C:\System Volume Information\_restore{62D0B474-0124-4E38-ADD9-41679D247148}\RP11\A0001883.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.VB.gvb' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'C:\System Volume Information\_restore{62D0B474-0124-4E38-ADD9-41679D247148}\RP10\A0001197.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Da die ja alle in Quarantäne verschoben wurden und ich die alle gelöscht habe und danach bei den Scans alles sauber war... müsste jetzt alle ok sein, oder? Habe mein JAVA bereits aktualisiert. Werde jetzt noch den Firefox draufmachen und diese Sandbox, soll ich Service Pack 3 noch installieren? Was ist mit den auto-updates von Microsoft, sollte man die machen? |
Hi, die von Dir genannten Dateien kommen aus der Systemwiederherstellung, bevor Du jetzt was weiter machst, müssen wir sie bereinigen und neu einstellen! Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten (unbedingt notwendig bevor Du SP3 aufspielst!) Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Nachdem Du einen Wiederherstellungspunkt erstellt hast, - Java wie beschrieben updaten - Firefox mit Plugins installieren - Komplettes Backup, auf jeden Fall Deine Daten sichern (falls es bei der Installation von SP3 zu Fehlern kommt) - SP3 installieren - automatische Updates einstellen. - Firewall (z. B. Zonealarm) installieren (wenn der Rechner betrieblich genutz wird, dann musst Du die kaufen (aber eigentlich darf ich dann auch keinen Support hier liefern, aua))... chris |
Öhm... ja gut mach ich... Mist hab schon Firefox udn JAVA installiert, ist das jetzt schlimm? Also, ich starte nachdem ich die Systemwiederherstellung deaktiviert habe im abgesicherten Modus und bereinige mit... ja mit was denn? Langt Antivir? Na ja, ich versuchs jetzt einfach mal.... uaaahhh... |
So, hat alles geklappt denke ich. Werde dann die notwendigen Dinge noch installieren... Vielen Danke für die Hilfe!!! Was meinst Du eigentlich damit, Du darfst dann hier keinen Support liefern...? Wieso denn? |
Hi, hier im Forum werden nur private PCs "bearbeitet"... Dein Laptop ist über beide Ohren mit vundo dicht, aber die Bereinigung läuft ja schon und Du bist in guten Händen... chris |
Oh, achso, das wusste ich nicht... aber ich denke es sollte jetzt echt alles weg sein, hoffe ich wenigstens :) Hab alles so gemacht wie Du gesagt hast! Und am Laptop sitze ich grade... der ist auch wirklich nur privat ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board