Trojaner-Board - Trojan Silentbanker?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan Silentbanker? (https://www.trojaner-board.de/70783-trojan-silentbanker.html)

Trojan Silentbanker?

Hallo, so nun habe ich mal ein Problem (leider leider).

Hatte eben ein Avira AVG Suchlauf (kompletter Systemscan) dabei wurde laut Informationen der Trojaner Silentbanker gefunden, habe mal im Internet nachgeschaut, was "APPL/PsExec.E" bedeutet. Dabei kam raus, Trojan.Silentbanker.

Hier mal der Report von Avira.

Code:

Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Sonntag, 8. März 2009  12:00
 

Es wird nach 1288155 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 3)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     XXX

Computername:     XXX
 

Versionsinformationen:

BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 17:14:48

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 20:01:31

LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 20:01:32

LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 20:01:32

ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 23:32:43

ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 13:03:45

ANTIVIR2.VDF  : 7.1.2.105     513536 Bytes  03.03.2009 17:22:49

ANTIVIR3.VDF  : 7.1.2.135     157696 Bytes  07.03.2009 17:22:52

Engineversion : 8.2.0.105 

AEVDF.DLL     : 8.1.1.0       106868 Bytes  31.01.2009 18:44:18

AESCRIPT.DLL  : 8.1.1.57      356729 Bytes  06.03.2009 17:24:59

AESCN.DLL     : 8.1.1.8       127346 Bytes  06.03.2009 17:24:57

AERDL.DLL     : 8.1.1.3       438645 Bytes  05.11.2008 21:48:10

AEPACK.DLL    : 8.1.3.10      397686 Bytes  05.03.2009 17:22:54

AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  27.02.2009 17:23:53

AEHEUR.DLL    : 8.1.0.104    1634679 Bytes  06.03.2009 17:24:56

AEHELP.DLL    : 8.1.2.2       119158 Bytes  27.02.2009 17:23:42

AEGEN.DLL     : 8.1.1.25      336243 Bytes  06.03.2009 17:24:48

AEEMU.DLL     : 8.1.0.9       393588 Bytes  16.10.2008 21:34:37

AECORE.DLL    : 8.1.6.6       176501 Bytes  19.02.2009 17:22:48

AEBB.DLL      : 8.1.0.3        53618 Bytes  16.10.2008 21:34:32

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 20:01:31

AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 20:01:31

AVREP.DLL     : 8.0.0.2        98344 Bytes  02.08.2008 17:05:22

AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 20:01:31

AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 20:01:31

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 20:01:32

NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 20:01:29

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 20:01:29
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Lokale Festplatten

Konfigurationsdatei..............: F:\Programme\Avira\AntiVir PersonalEdition Classic\alldiscs.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:, F:, G:, H:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Sonntag, 8. März 2009  12:00
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Eine Instanz des ARK läuft bereits.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'yfpcqejn.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avirarkd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'E_FATICAE.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'VTTrayp.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '36' Prozesse mit '36' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'F:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'G:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'H:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '45' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <Master>

Beginne mit der Suche in 'D:\' <Daten>

D:\WoW-2.3.0.7561-deDE\DirectX\BDA.cab.part

    [0] Archivtyp: CAB (Microsoft)

    --> kstvtune.ax

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Beginne mit der Suche in 'F:\' <Windows>

F:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

F:\System Volume Information\_restore{CD58BF0C-7DBD-4730-A338-62B0D7EEDBA6}\RP124\A0026930.exe

    [0] Archivtyp: RAR SFX (self extracting)

      --> 32788R22FWJFW\psexec.cfexe

        [1] Archivtyp: RSRC

        --> Object

          [FUND]      Enthält Erkennungsmuster der Anwendung APPL/PsExec.E

    [HINWEIS]   Die Datei wurde gelöscht.

Beginne mit der Suche in 'G:\' <Privat>

Beginne mit der Suche in 'H:\' <Programme>
 
 

Ende des Suchlaufs: Sonntag, 8. März 2009  12:59

Benötigte Zeit: 59:44 Minute(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  13925 Verzeichnisse wurden überprüft

 376020 Dateien wurden geprüft

      1 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      1 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

 376018 Dateien ohne Befall

   3648 Archive wurden durchsucht

      2 Warnungen

      1 Hinweise

Nun noch ein HiJackThis - Logfile

Code:

 Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:06:38, on 08.03.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\Explorer.EXE

F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

F:\WINDOWS\system32\RunDll32.exe

F:\WINDOWS\system32\VTTimer.exe

F:\WINDOWS\system32\VTtrayp.exe

F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

F:\WINDOWS\system32\ctfmon.exe

F:\Programme\Windows Live\Messenger\MsnMsgr.Exe

F:\Programme\Messenger\msmsgs.exe

F:\Programme\Skype\Phone\Skype.exe

F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE

F:\Programme\ICQ6.5\ICQ.exe

F:\Programme\a-squared Free\a2service.exe

F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

F:\Programme\ICQ6Toolbar\ICQ Service.exe

F:\WINDOWS\System32\svchost.exe

F:\Programme\Skype\Plugin Manager\skypePM.exe

F:\Programme\Windows Live\Messenger\usnsvc.exe

F:\Programme\Mozilla Firefox\firefox.exe

F:\WINDOWS\system32\wuauclt.exe

F:\Programme\Avira GmbH\Avira RootKit Detection\avirarkd.exe

F:\DOKUME~1\XXX\LOKALE~1\Temp\yfpcqejn.exe

F:\Programme\Windows Media Player\wmplayer.exe

F:\WINDOWS\system32\notepad.exe

F:\Dokumente und Einstellungen\XXX\Desktop\DownloadsMF\HiJackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.icq.com/

R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQ6Toolbar\ICQToolBar.dll

O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Programme\Windows Live Toolbar\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - F:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - F:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Programme\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "F:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "F:\WINDOWS\TEMP\E_SA6.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [ICQ] "F:\Programme\ICQ6.5\ICQ.exe" silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Windows Live Search - res://F:\Programme\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211038566945

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - F:\Programme\a-squared Free\a2service.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ICQ Service - Unknown owner - F:\Programme\ICQ6Toolbar\ICQ Service.exe
 

--

End of file - 5758 bytes

Mal sehen, ob man daraus etwas erkennen kann, MWB Log folgt noch.

Da du mich dort so engelhaft unterstützt hast, übernehme ich natürlich.

Als ich nach dem Dateinamen gegooglet habe, habe ich radmin und psexec gefunden. Das hat aber gar nichts zu bedeuten. Zudem wurde der Fund in der Systemwiederherstellung gefunden. Dort ist er ungefährlich (es sei denn, du machst eine Systemwiederherstellung).

Also immer mit der Ruhe. Keine Panik auf der Titanic.

ciao, andreas

Gestern wurden ja bei mir durch Malwarebytes auch zwei adwares in der registry gefunden, habe sie aus der registry rausgelöscht manuell, seitdem dürfte nichts mehr kommen von den registryschlüsseln her, oder es wurde wieder etwas infiziert.

jedenfalls läuft Malwareb. noch durch und dann poste ich mal das Ergebnis des Malwareb. Logs. ^^

Adware ist nur nervig und nicht gefährlich. Irgendwelche Registryeinträge sind wahrscheinlich nur Reste und bewirken ohne korrespondierende Programme nichts (mit Ausnahme der DNS-Einträge).

Poste auch die Funde von gestern. Du kommst an die alten Logs, wenn du auf die Registerkarte: Scan-Berichte klickst und anschliessend ein Doppelklick auf das richtige Datum machst.

ciao, andreas

Kommt gleich, die Logs und Ergebnisse von gestern ^^

so, erstmal das log von jetzte, scheint sauber zu sein ^^

Code:

 Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1826

Windows 5.1.2600 Service Pack 3
 

08.03.2009 15:03:38

mbam-log-2009-03-08 (15-03-38).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)

Durchsuchte Objekte: 175927

Laufzeit: 1 hour(s), 50 minute(s), 46 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

und nun das Log von gestern mit den 2 funden in der Registry...

Code:

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1826

Windows 5.1.2600 Service Pack 3
 

07.03.2009 23:39:44

mbam-log-2009-03-07 (23-39-44).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)

Durchsuchte Objekte: 175688

Laufzeit: 1 hour(s), 42 minute(s), 38 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Not selected for removal.

HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Not selected for removal.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\WPA\Crypt.dll (Hacktool) -> Quarantined and deleted successfully.

hoffe es ist jetzt aufschlussreicher.

Zitat:

hoffe es ist jetzt aufschlussreicher.

:daumenhoc

Erstelle bitte eine Liste der installierten Programme (Punkt 2d):
http://www.trojaner-board.de/69886-a...-beachten.html

Dann lasse diese beiden nach Anleitung laufen und poste jeweils das Log:
http://www.trojaner-board.de/51871-a...tispyware.html
http://www.trojaner-board.de/54192-a...tellungen.html

Bin erst morgen abend wieder on,
andreas

Hatte Avira schon lange auf Agressive Einstellung ;)

das eine avira log was du gesehen hattest war auch auf agressive einstellung ^^

hier meine Liste der Programme - wie erwünscht:

Acrobat.com
Acrobat.com
Adobe AIR
Adobe AIR
Adobe Flash Player 9 ActiveX
Adobe Reader 9
Aspell German Dictionary-0.50-2
a-squared Free 4.0
AVI Codec Pack
Avira AntiVir Personal - Free Antivirus
Avira RootKit Detection
Camera RAW Plug-In for EPSON Creativity Suite
C-Media 3D Audio
CX4300_5500_DX4400 Handbuch
EPSON Attach To Email
EPSON Copy Utility 3
EPSON Easy Photo Print
EPSON File Manager
EPSON Scan
EPSON Scan Assistant
EPSON Web-To-Page
EPSON-Drucker-Software
GNU Aspell 0.50-3
GTK+ Runtime 2.12.8 rev a (nur entfernen)
Hervorhebe-Funktion (Windows Live Toolbar)
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
ICQ Toolbar
ICQ6.5
Malwarebytes' Anti-Malware
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mozilla Firefox (3.0.7)
OpenOffice.org 2.4
PC Wizard 2008.1.86
S3 S3Display
S3 S3Gamma2
S3 S3Info2
S3 S3Overlay
S3 S3TrayPlus
Shareaza 2.3.1.0
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Skype™ 3.2
Smart Menus (Windows Live Toolbar)
TeamSpeak 2 RC2
Tomb Raider - Der Fluch des Lazarus
Tomb Raider - The Last Revelation (Demo)
Tomb Raider II Gold (Demo)
Tomb Raider III - Adventures of Lara Croft (remove only)
Tomb Raider III (Demo)
Tomb Raider III (Demo)
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VIA/S3G Display Driver
Windows Live Anmelde-Assistent
Windows Live Favorites für Windows Live Toolbar
Windows Live installer
Windows Live Messenger
Windows Live Toolbar
Windows Live Toolbar
Windows Live Toolbar-Erweiterung (Windows Live Toolbar)
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
WinRAR
xp-AntiSpy 3.96-8

hier das superantispyware log:

Code:

 SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 03/08/2009 at 04:50 PM
 

Application Version : 4.25.1014
 

Core Rules Database Version : 3788

Trace Rules Database Version: 1745
 

Scan type       : Complete Scan

Total Scan Time : 00:51:44
 

Memory items scanned      : 526

Memory threats detected   : 0

Registry items scanned    : 3576

Registry threats detected : 0

File items scanned        : 29479

File threats detected     : 75
 

Adware.Tracking Cookie

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@insightexpressai[1].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@amlocalhost.trymedia[2].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@weborama[2].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.zanox[2].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@sevenoneintermedia.112.2o7[1].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@msnportal.112.2o7[1].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@www.zanox-affiliate[1].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@ads.pointroll[1].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@serving-sys[2].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@adserver.71i[1].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.yieldmanager[2].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@2o7[2].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@atwola[1].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@zbox.zanox[2].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.71i[1].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@adfarm1.adition[2].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@tacoda[1].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@at.atwola[2].txt

        F:\Dokumente und Einstellungen\xxx\Cookies\xxx@bs.serving-sys[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@www.tns-counter[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@www.etracker[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.tbn[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@2o7[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@adbrite[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.600.tbn[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.adnet[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.agava.tbn[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.anw[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.rich1.adbn[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.text.tbn[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.top1.adbn[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.yieldmanager[2].txt

        C:\Dokumente und Einstellungen\xxxCookies\we@ad.zanox[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ads.heias[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@adfarm1.adition[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ads.planetactive[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ads.pointroll[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ads.vectan[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@ads2.wetter[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@adserver.71i[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@adserver.easyad[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@adtech[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@advertising[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@apmebf[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@as1.falkag[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@atdmt[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@atwola[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@atwola[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@bs.serving-sys[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@click.cashengines[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@data.coremetrics[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@doubleclick[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@eas.apm.emediate[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@engine.adnet[2].txt

        C:\Dokumente und Einstellungen\xxxCookies\we@euros4click[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@fastclick[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@goclick[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@hmt.connexpromotions[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@komtrack[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@msnportal.112.2o7[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@mediaplex[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@mediavantage[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@partners.webmasterplan[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@rotor6.newzfind[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@serving-sys[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@sevenoneintermedia.112.2o7[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@upspiral[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@sutra.newzfind[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@tradedoubler[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@weborama[2].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@www.googleadservices[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@www.googleadservices[2].txt

        C:\Dokumente und Einstellungenxxx\Cookies\we@www.upspiral[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@www.zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\xxx\Cookies\we@yadro[1].txt

kann ich die ganzen Adwares löschen?

Das sind nur Tracking Cookies, völlig ungefährlich und sie wurden schon längst gelöscht. Surfst du mit dem MSIE?

Brauchst oder nutzt du die Live-Toolbar?

Deinstalliere:

SuperAntiSpyware (nicht mehr benötigt)
Adobe Flash Player 9 ActiveX (veraltet)
Avira RootKit Detection (nicht mehr benötigt)
Shareaza 2.3.1.0 (Virenschleuder)

Installiere:
Adobe Flash Player

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

Nach Neustart Systemwiederherstellung wieder aktivieren.

ciao, andreas

Ich surfte nie mit IE xD
Hatte von Anfang an bei der Installation Mozilla Firefox, ich schwör auf Mozilla xD

Okay, dann werde ich mich Punkt für Punkt mal ranmachen an das ganze :)

Ich hoffe mal das mein PC dann so einigermaßen sauber und rein ist und ich unbeschwert surfen kann ^.^

Was ist mit der Live-Toolbar, die ist mir (wie fast alles von MS) ein Dorn im Auge.

ciao, andreas

die mach ich danach, ich mach alle toolbars sowieso weg, brauch die ja nicht, wenns google gibt - die hab ich wohl mal mitinstalliert, als ich icq und msn installierte.