Trojaner-Board - Trojaner durch Mail-Anhang (DHL)

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner durch Mail-Anhang (DHL) (https://www.trojaner-board.de/77685-trojaner-mail-anhang-dhl.html)

Trojaner durch Mail-Anhang (DHL)

Hallo Zusammen,

Vorneweg muss ich mal sagen dass ich nicht viel Ahnung habe. Habe mir schon ein paar andere Threads durchgelesen und bin oft überhaupt nicht mitgekommen.....also bitte für Anfänger schreiben. :-)

Also: Habe heute einen Mail-Anhang geöffnet, nix ist passiert. Habe danach gegooglet (war von DHL Delivery Service) und gesehen dass es evtl. ein Trojaner sein kann.

Ich habe Malwarebytes zuerst laufen lassen, dann abgebrochen weil ich dachte Mist, muss erst den CCleaner laufen lassen! Bis dahin wurden 5 infizierte Objekte gefunden die ich entfernen lies.
Danach also Neustart, CCleaner laufen lassen und Mawarebytes scannen lassen. Währenddessen hat mein Antivir die gefundenen Objekte angezeigt, die ich dann damit in Quarantäne verschoben habe.

So, das ist herausgekommen:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2831
Windows 5.1.2600 Service Pack 3

20.09.2009 23:21:28
mbam-log-2009-09-20 (23-21-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 122534
Laufzeit: 46 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{9BD86E32-D948-46E9-A53A-198BE77286CA}\RP60\A0060531.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sys.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.

So, dann noch den Link für das ganze andere Gedöns (weiss nicht mehr wie das heisst :-) )

http://www.file-upload.net/download-1901462/log.file.rtf.html

Ich hoffe das hat so funktioniert!!

So und nun bitte ich mal recht herzlich um HILFE

LG,

Jessi

Hallo und Herzlich Willkommen! :)

** kannst du den Bericht von Antivir mit den Malwarefunde hier posten?

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Hallo,

Und schonmal vielen Dank für deine Mühe.
Falls ich irgendwas nicht richtig gemacht hab nimms mir bitte nicht übel, ich versuchs dann gerne ein zweites Mal.

Code:

----- Root ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2C27-9755
 

 Verzeichnis von C:\
 

21.09.2009  20:24                43 filelist.txt

21.09.2009  20:13       805.306.368 pagefile.sys

19.07.2009  17:10               211 boot.ini

12.05.2009  19:29           251.712 ntldr

07.05.2009  23:14            47.564 NTDETECT.COM

07.05.2009  22:40                 0 MSDOS.SYS

07.05.2009  22:40                 0 IO.SYS

07.05.2009  22:40                 0 CONFIG.SYS

07.05.2009  22:40                 0 AUTOEXEC.BAT
 

              10 Datei(en)    805.610.850 Bytes

               0 Verzeichnis(se),  1.082.753.024 Bytes frei

 

----- Windows -------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2C27-9755
 

 Verzeichnis von C:\WINDOWS
 

21.09.2009  20:18         1.161.208 WindowsUpdate.log

21.09.2009  20:14                 0 0.log

21.09.2009  20:14             2.048 bootstat.dat

21.09.2009  15:15            32.576 SchedLgU.Txt

19.09.2009  22:24               177 LEXSTAT.INI

13.09.2009  23:57               116 NeroDigital.ini

28.07.2009  13:48            33.061 king-uninstall.exe

19.07.2009  17:10               608 win.ini

19.07.2009  17:10               227 system.ini

18.07.2009  17:05            41.275 RTacDbg.txt

12.05.2009  19:51           316.640 WMSysPr9.prx

07.05.2009  22:44             8.192 REGLOCS.OLD

07.05.2009  22:40                 0 control.ini

07.05.2009  22:40           299.552 WMSysPrx.prx

07.05.2009  22:40             4.161 ODBCINST.INI

07.05.2009  22:38               749 WindowsShell.Manifest

07.05.2009  22:35                37 vbaddin.ini

07.05.2009  22:35                36 vb.ini

18.03.2009  15:10           316.672 KingComIE.dll
 
 

              62 Datei(en)      7.807.612 Bytes

               0 Verzeichnis(se),  1.082.748.928 Bytes frei

 

----- System  --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2C27-9755
 

 Verzeichnis von C:\WINDOWS\system
 
 

              26 Datei(en)      1.695.739 Bytes

               0 Verzeichnis(se),  1.082.744.832 Bytes frei

 

----- System 32 (Achtung: Zeitfenster beachten!) --- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2C27-9755
 

 Verzeichnis von C:\WINDOWS\system32
 

16.09.2009  12:50            13.646 wpa.dbl

28.08.2009  23:38        24.689.600 MRT.exe

27.08.2009  00:33           212.762 TZLog.log

22.08.2009  16:48            68.490 perfc009.dat

22.08.2009  16:48           435.594 perfh009.dat

22.08.2009  16:48           452.480 perfh007.dat

22.08.2009  16:48            81.498 perfc007.dat

22.08.2009  16:48         1.006.680 PerfStringBackup.INI

05.08.2009  10:59           206.336 mswebdvd.dll

27.07.2009  22:06                56 ezsidmv.dat

19.07.2009  18:41        11.067.392 ieframe.dll

19.07.2009  15:11         5.937.152 mshtml.dll

18.07.2009  17:06           267.800 FNTCACHE.DAT

18.07.2009  12:33            16.832 amcompat.tlb

18.07.2009  12:33            23.392 nscompat.tlb

18.07.2009  09:05               308 results.txt

17.07.2009  21:01            58.880 atl.dll

14.07.2009  13:03            46.080 tzchange.exe

13.07.2009  23:43        10.841.088 wmp.dll

13.07.2009  23:43           286.208 wmpdxm.dll

03.07.2009  18:55           206.848 occache.dll

03.07.2009  18:55           915.456 wininet.dll

03.07.2009  18:55         1.208.832 urlmon.dll

03.07.2009  18:55            55.296 msfeedsbs.dll

03.07.2009  18:55           594.432 msfeeds.dll

03.07.2009  18:55            25.600 jsproxy.dll

03.07.2009  18:55         1.469.440 inetcpl.cpl

03.07.2009  18:55         1.985.536 iertutil.dll

03.07.2009  18:55           184.320 iepeers.dll

03.07.2009  18:55           386.048 iedkcs32.dll

03.07.2009  13:01           173.056 ie4uinit.exe

29.06.2009  10:40            57.667 ieuinit.inf

25.06.2009  10:25           301.568 kerberos.dll

25.06.2009  10:25            54.272 wdigest.dll

25.06.2009  10:25            56.832 secur32.dll

25.06.2009  10:25           737.792 lsasrv.dll

25.06.2009  10:25           136.192 msv1_0.dll

25.06.2009  10:25           147.456 schannel.dll

22.06.2009  08:45           726.528 jscript.dll

16.06.2009  16:36            81.920 fontsub.dll

16.06.2009  16:36           119.808 t2embed.dll

15.06.2009  12:43            78.848 telnet.exe

10.06.2009  16:13            85.504 avifil32.dll

10.06.2009  09:19         2.066.432 mstscax.dll

10.06.2009  08:14           132.096 wkssvc.dll

04.06.2009  13:37           348.160 msvcr71.dll

04.06.2009  13:37           499.712 msvcp71.dll

03.06.2009  21:09         1.296.896 quartz.dll

20.05.2009  04:56         2.458.112 WMVCore.dll

12.05.2009  19:49               269 spupdwxp.log

08.05.2009  15:22            13.646 wpa.bak

07.05.2009  22:57                44 msssc.dll

07.05.2009  22:47            25.065 wmpscheme.xml

07.05.2009  22:43               261 $winnt$.inf

07.05.2009  22:40             2.951 CONFIG.NT

07.05.2009  22:38               488 WindowsLogon.manifest

07.05.2009  22:38               488 logonui.exe.manifest

07.05.2009  22:38               749 wuaucpl.cpl.manifest

07.05.2009  22:38               749 cdplayer.exe.manifest

07.05.2009  22:38               749 sapi.cpl.manifest

07.05.2009  22:38               749 ncpa.cpl.manifest

07.05.2009  22:38               749 nwc.cpl.manifest

07.05.2009  22:36            21.740 emptyregdb.dat

07.05.2009  17:32           348.160 localspl.dll

29.04.2009  06:33         1.499.136 shdocvw.dll

19.04.2009  21:46         1.847.296 win32k.sys

15.04.2009  16:51           585.216 rpcrt4.dll

21.03.2009  16:06         1.063.424 kernel32.dll

16.03.2009  14:18           517.448 XAudio2_4.dll

16.03.2009  14:18            22.360 X3DAudio1_6.dll

16.03.2009  14:18            69.448 XAPOFX1_3.dll

16.03.2009  14:18           235.352 xactengine3_4.dll

09.03.2009  15:27         1.846.632 D3DCompiler_41.dll

09.03.2009  15:27         4.178.264 D3DX9_41.dll

09.03.2009  15:27           453.456 d3dx10_41.dll

08.03.2009  14:29         1.302.528 ieframe.dll.mui

08.03.2009  14:29            57.344 msrating.dll.mui

08.03.2009  14:28             2.560 mshta.exe.mui

08.03.2009  14:27             4.096 ie4uinit.exe.mui

08.03.2009  14:27            12.288 advpack.dll.mui

08.03.2009  14:27            81.920 iedkcs32.dll.mui

08.03.2009  04:35           385.024 html.iec

08.03.2009  04:34           208.384 WinFXDocObj.exe

08.03.2009  04:34           236.544 webcheck.dll

08.03.2009  04:34            43.008 licmgr10.dll

08.03.2009  04:34           105.984 url.dll

08.03.2009  04:34           193.536 msrating.dll

08.03.2009  04:33            18.944 corpol.dll

08.03.2009  04:33           229.376 ieaksie.dll

08.03.2009  04:33           420.352 vbscript.dll

08.03.2009  04:33           125.952 ieakeng.dll

08.03.2009  04:32            72.704 admparse.dll

08.03.2009  04:32            36.864 ieudinit.exe

08.03.2009  04:32           163.840 ieakui.dll

08.03.2009  04:32            71.680 iesetup.dll

08.03.2009  04:32            55.808 iernonce.dll

08.03.2009  04:32           128.512 advpack.dll

08.03.2009  04:32            94.720 inseng.dll

08.03.2009  04:32           611.840 mstime.dll

08.03.2009  04:31            13.312 msfeedssync.exe

08.03.2009  04:31            59.904 icardie.dll

08.03.2009  04:31           348.160 dxtmsft.dll

08.03.2009  04:31           216.064 dxtrans.dll

08.03.2009  04:31            34.816 imgutil.dll

08.03.2009  04:31            46.592 pngfilt.dll

08.03.2009  04:31            66.560 mshtmled.dll

08.03.2009  04:31            48.128 mshtmler.dll

08.03.2009  04:31         1.638.912 mshtml.tlb

08.03.2009  04:31            45.568 mshta.exe

08.03.2009  04:30            66.560 tdc.ocx

08.03.2009  04:22           164.352 ieui.dll

08.03.2009  04:22           156.160 msls31.dll

08.03.2009  04:11           445.952 ieapfltr.dll

06.03.2009  16:19           286.720 pdh.dll
 
 
 
 
 

            2071 Datei(en)    515.723.710 Bytes

               0 Verzeichnis(se),  1.082.556.416 Bytes frei

 

----- Prefetch ------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2C27-9755
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

21.09.2009  20:24            11.634 FIND.EXE-0EC32F1E.pf

21.09.2009  20:24            12.276 CMD.EXE-087B4001.pf

21.09.2009  20:23            15.696 VERCLSID.EXE-3667BD89.pf

21.09.2009  20:23            13.240 SKYPENAMES.EXE-00E36E08.pf

21.09.2009  20:21            29.864 RUNDLL32.EXE-4B74219C.pf

21.09.2009  20:18            35.086 RUNDLL32.EXE-40751CA7.pf

21.09.2009  20:18           114.706 IEXPLORE.EXE-2CA9778D.pf

21.09.2009  20:16            14.938 SVCHOST.EXE-3530F672.pf

21.09.2009  20:16            52.776 WMIPRVSE.EXE-28F301A9.pf

21.09.2009  20:15            34.148 AVWSC.EXE-24612965.pf

21.09.2009  20:15            39.600 ALG.EXE-0F138680.pf

21.09.2009  20:15            37.104 WSCNTFY.EXE-1B24F5EB.pf

21.09.2009  20:15            27.864 WUAUCLT.EXE-399A8E72.pf

21.09.2009  20:15            67.054 NMINDEXSTORESVR.EXE-1DBCF9FD.pf

21.09.2009  15:15            18.874 LOGONUI.EXE-0AF22957.pf

21.09.2009  15:04            19.014 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf

21.09.2009  14:24            80.188 OUTLOOK.EXE-1615251F.pf

21.09.2009  13:56            51.654 DFRGNTFS.EXE-269967DF.pf

21.09.2009  13:56            17.248 DEFRAG.EXE-273F131E.pf

21.09.2009  13:56           192.104 Layout.ini

21.09.2009  13:50             8.080 LOGON.SCR-151EFAEA.pf

21.09.2009  13:31            30.044 RUNDLL32.EXE-360EB5D8.pf

21.09.2009  13:23            58.870 HELPSVC.EXE-2878DDA2.pf

21.09.2009  09:04            32.700 RUNDLL32.EXE-1A0AC19E.pf

21.09.2009  00:48            31.444 RUNDLL32.EXE-1DD90994.pf

21.09.2009  00:46            62.326 AVCENTER.EXE-1D2DB8A2.pf

21.09.2009  00:00            76.264 WINWORD.EXE-0B995611.pf

20.09.2009  23:42            16.846 GUARDGUI.EXE-147E0160.pf

20.09.2009  23:35            41.106 WORDPAD.EXE-1EFCC5C1.pf

20.09.2009  23:26            14.418 NOTEPAD.EXE-336351A9.pf

20.09.2009  23:26            13.780 ICH.EXE-347FE015.pf

20.09.2009  23:26            16.466 RSIT[1].EXE-097553B4.pf

20.09.2009  23:21            30.430 RUNDLL32.EXE-20F73ED8.pf

20.09.2009  22:33            56.182 MBAM.EXE-11D8BBD8.pf

20.09.2009  22:27            39.188 RUNDLL32.EXE-2A52D457.pf

20.09.2009  22:26            24.058 CCLEANER.EXE-065E2F3F.pf

20.09.2009  22:22            21.720 RUNDLL32.EXE-4C76D097.pf

20.09.2009  22:22            21.144 RUNDLL32.EXE-3BE58F2B.pf

20.09.2009  22:22            21.228 RUNDLL32.EXE-13912059.pf

20.09.2009  22:22            22.776 RUNDLL32.EXE-27967B27.pf

20.09.2009  22:17            14.552 REGEDIT.EXE-1B606482.pf

20.09.2009  21:57            35.206 REGSVR32.EXE-25EEFE2F.pf

20.09.2009  21:57             8.356 MBAMGUI.EXE-1E06AB95.pf

20.09.2009  21:54            14.644 MBAM-SETUP.TMP-0448E121.pf

20.09.2009  21:54            15.350 MBAM-SETUP.EXE-2B96BAA9.pf

20.09.2009  21:49            29.542 RUNDLL32.EXE-1A667B4F.pf

20.09.2009  21:44            31.150 RUNDLL32.EXE-241B8766.pf

20.09.2009  21:25            12.720 OFFLB.EXE-03A7C203.pf

20.09.2009  21:15            63.340 UPDATE.EXE-3398FCD6.pf

20.09.2009  21:10             5.898 DHL_INVOICE_53BAC6.EXE-00D11D1C.pf

20.09.2009  21:10            19.210 EXPLORER.EXE-082F38A9.pf

20.09.2009  21:07             4.960 DHL_INVOICE_53BAC6.EXE-04B35265.pf

20.09.2009  21:07            30.414 RUNDLL32.EXE-35E70DD2.pf

20.09.2009  20:47            30.212 RUNDLL32.EXE-4746B240.pf

20.09.2009  20:28            21.838 RUNDLL32.EXE-43285D4D.pf

20.09.2009  12:23            30.552 RUNDLL32.EXE-3A2898C3.pf

20.09.2009  12:14            64.894 DWWIN.EXE-30875ADC.pf

19.09.2009  22:23            13.996 LXBCJSWX.EXE-12F42A4B.pf

19.09.2009  22:23            17.914 LXBCPSWX.EXE-1FD0E021.pf

19.09.2009  22:19            57.672 OIS.EXE-0E8237AE.pf

19.09.2009  22:13            36.034 RUNDLL32.EXE-2DE156D0.pf

19.09.2009  21:27            30.052 RUNDLL32.EXE-280458AC.pf

18.09.2009  21:38            53.714 AVNOTIFY.EXE-31D7686A.pf

18.09.2009  09:36            57.650 DUMPREP.EXE-1B46F901.pf

17.09.2009  22:30            16.170 DRWTSN32.EXE-2B4B52AC.pf

17.09.2009  22:30            23.336 TASKMGR.EXE-20256C55.pf

14.09.2009  14:19            60.878 HELPCTR.EXE-3862B6F5.pf

13.09.2009  23:42            13.964 RUNDLL32.EXE-451FC2C0.pf

10.09.2009  14:47           128.920 MSIEXEC.EXE-2F8A8CAE.pf

02.09.2009  14:01            63.780 MSCORSVW.EXE-1BF30400.pf

13.08.2009  12:16            39.826 WMIAPSRV.EXE-1E2270A5.pf

13.08.2009  12:16            41.994 SKYPEPM.EXE-03F1BFBD.pf

12.05.2009  21:00           472.162 NTOSBOOT-B00DFAAD.pf

              73 Datei(en)      3.085.038 Bytes

               0 Verzeichnis(se),  1.082.638.336 Bytes frei

 

----- Tasks ---------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2C27-9755
 

 Verzeichnis von C:\WINDOWS\tasks
 

21.09.2009  20:14                 6 SA.DAT
 

               2 Datei(en)             71 Bytes

               0 Verzeichnis(se),  1.082.638.336 Bytes frei

 

----- Windows/Temp ----------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2C27-9755
 

 Verzeichnis von C:\WINDOWS\Temp
 

 

----- Temp ----------------------------- 

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 2C27-9755
 

 Verzeichnis von C:\DOKUME~1\Ich\LOKALE~1\Temp
 

21.09.2009  20:19            16.384 ~DFC073.tmp

21.09.2009  20:17                 0 ~DFA3B4.tmp

18.09.2009  09:45            16.384 ~DF64A2.tmp

18.09.2009  09:41         1.213.380 fla3.tmp

18.09.2009  09:36                 0 ~DF588B.tmp

               5 Datei(en)      1.246.148 Bytes

               0 Verzeichnis(se),  1.082.638.336 Bytes frei

Dann hier noch meine Programme:

Code:

Adobe Flash Player 10 ActiveX

Adobe Reader 9.1 - Deutsch

Adobe Shockwave Player 11.5

ATI - Dienstprogramm zur Deinstallation der Software

ATI Control Panel

ATI Display Driver

AusLogics Disk Defrag

AusLogics Registry Cleaner

Avira AntiVir Personal - Free Antivirus

AVM FRITZ!WLAN

CCleaner (remove only)

Compaq Power Management

Google Toolbar for Internet Explorer

HijackThis 2.0.2

HP Product Detection

king.com (remove only)

Lexmark Z600 Series

Malwarebytes' Anti-Malware

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU

Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

Microsoft .NET Framework 3.5 SP1

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Office Enterprise 2007

Microsoft Silverlight

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

Nero 7 Ultra Edition

Netzmanager

REALTEK RTL8185 Wireless LAN Driver and Utility

Skype web features

Skype™ 4.1

SoundMAX

Synaptics Pointing Device Driver

Windows Internet Explorer 8

Windows Media Format 11 runtime

Windows Media Player 11

Windows XP Service Pack 3

also einen Bericht hab ich beim AV gar nicht drin.
Der hat die mir nur angezeigt als ich mit dem Malware geprüft habe.
Ich hab dort zwei in Quarantäne verschoben, aber da kann ich nichts kopieren.
Ich hab jetzt mal das kopiert was bei den Ereignissen drin steht:

In der Datei 'C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YOTD1ITI\trade-a-game[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\WINDOWS\system32\sys.dat'
wurde ein Virus oder unerwünschtes Programm 'ADSPY/SuperJuan.wqp.14' [adware] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\System Volume Information\_restore{9BD86E32-D948-46E9-A53A-198BE77286CA}\RP60\A0060531.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Vg mit der Hoffnung dass es geklappt hat. :-)

hi

Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

Muss nochmal nachfragen bevor ich Mist mache:
Wegen dem ActiveX....muss ich bei Allem was damit zu tun hat auf aktivieren gehen?
Also bei Sicherheit auf Stufe anpassen und dann kommt doch ActiveX Steuerelemente und Plugins. Da alle Häkchen auf aktivieren?

gehe bitte wie folgt vor:

Zitat:

So verhindern Sie, dass die Informationsleiste Datei- und Softwaredownloads blockiert

1.
Öffnen Sie Internet Explorer, indem Sie auf die Schaltfläche StartSchaltfläche "Start" klicken und dann auf Internet Explorer klicken.
2.
Klicken Sie auf die Schaltfläche Extras und dann auf Internetoptionen.
3.
Klicken Sie auf der Registerkarte Sicherheit auf Stufe anpassen.
4.
Führen Sie eine oder beide der folgenden Aktionen aus:
•
Um die Informationsleiste für ActiveX-Steuerelemente zu deaktivieren, klicken Sie im Listenabschnitt ActiveX-Steuerelemente und Plug-Ins unter Automatische Eingabeaufforderung für ActiveX-Steuerelemente auf Aktivieren.
•
Um die Informationsleiste bei Dateidownloads zu deaktivieren, klicken Sie im Abschnitt Download der Liste unter Automatische Eingabeaufforderung für Dateidownloads zulassen auf Aktivieren.
5.
Klicken Sie auf OK und dann auf Ja, um die gewünschten Änderungen zu bestätigen, und klicken Sie dann erneut auf OK.

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 22. September 2009 00:26:59
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 21/09/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2615332
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 35666
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:00:23

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\IECompatCache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\IETldCache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{125626C3-A6DB-11DE-AA01-001A4F48BF7D}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{435E1D80-A6F5-11DE-AA01-001A4F48BF7D}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{ED00DCC1-A6EC-11DE-AA01-001A4F48BF7D}.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\~DFA35D.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\~DFA3B4.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\~DFE2ED.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009092120090922\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Ich\PrivacIE\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{9BD86E32-D948-46E9-A53A-198BE77286CA}\RP61\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\_restore{9BD86E32-D948-46E9-A53A-198BE77286CA}\RP61\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Hallo jessi29.

sieht schon mal gut aus:)

1.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

2.
- den Internet-Cache komplett per Hand leeren
- Explorer - Rechtsklick auf C:\Windows\Temporary Internet Files\Content.IE5 - Suchen - Starten
- Lösche nun alle Dateien, außer der Datei Index.dat

3.
Falls die Datei "C:\WINDOWS\system32\sys.dat" befindet sich noch in der Quarantäne, von dort bitte hochladen!
also gehe bitte wie folgt vor:

lege bitte eine neuen Ordner auf deinem Desktop an
Avira starten--> Quarantine--> Rechtsklick auf die Datei/en (C:\WINDOWS\system32\sys.dat)--> "Objekt wiederherstellen nach..."-->"Ok"
in diesen (neu erstellte) Ordner speichern

3.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:

Code:

C:\WINDOWS\system32\sys.dat

→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1)

4.
Führe dann bitte einen Sicherheits-Check aus: heise Security - c't-Browsercheck --> Sicherheitseinstellungen des Internet Explorer 7 anpassen

5.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Hallo :-)

Ich hänge leider.
Im Explorer gehe ich doch erst auf Windows, dann auf Temp. oder?
der Ordner Temp. ist leer.
Ist das jetzt schon gut? oder doch eher schlecht?
:confused:

Hab den Pfad C:\Windows\Temporary Internet Files\Content.IE5 mal in der Suche eingegeben, aber der findet da nix.

Danke und LG,

Jessi

hi

alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

`Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
`Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok"
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

dann Punkt 3. bitte weiter...

irgendwie hab ich das dumpfe Gefühl dass ich jetzt Mist gemacht habe.

Bin jetzt bei Punkt 3.

Ich kann die Datei C:\WINDOWS\system32\sys.dat nicht finden.
In der Quarantäne ist nix und wenn ich sie bei Durchsuchen reinkopiere sagt er mir er kann nichts finden.

hi

Reinige dein System mit *SuperAntiSpyware*<- Download & Anleitung

Hallo nochmal :-)

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/23/2009 at 00:41 AM

Application Version : 4.29.1002

Core Rules Database Version : 4116
Trace Rules Database Version: 2056

Scan type : Complete Scan
Total Scan Time : 00:56:28

Memory items scanned : 497
Memory threats detected : 0
Registry items scanned : 5893
Registry threats detected : 0
File items scanned : 32214
File threats detected : 2

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Ich\Cookies\ich@doubleclick[2].txt
C:\Dokumente und Einstellungen\Ich\Cookies\ich@ads5.wwe[2].txt

So, ich habe das Gefühl ich sollte nicht mehr so viel kurz vor Mitternacht machen, da wirds irgendwie noch komplizierter als sonst.

LG,

Jessi

vlt mal einen :kaffee:
Wie läuft dein System nun? Fehlemeldung/en oder sonstige Probleme?

Tja, bin leider nur Tee-Trinker :-)

Also laufen tut es prima.....sogar der bisherige Fehler dass meine Tastatur ab und an zu spinnen angefangen hat ist weg.
(das war aber schon vor dieser berüchtigten Mail)

Heisst das ich habs wahrscheinlich überstanden?