|
bitdefender meldet exploit.pdf-js.gen & trojan.cryptredol.gen.5 hallo liebe leute, nachdem ein gewisses "security tool" unverhofft auf dem rechner meines dad's auftauchte, ließ ich bitdefender das system scannen. bitdefender meldet: Produkt: BitDefender Antivirus 2009 Version: BitDefender UIScanner v.12 Prüfaufgabe: Tiefe Systemprüfung Protokoll Datum: 14.10.2009 17:18:37 Protokoll Pfad: C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\deep_scan\1255533517_1_02.xml Prüfpfad Pfad 0000: C:\ Pfad 0001: D:\ Prüfoptionen Auf Viren prüfen: Ja Auf Adware prüfen: Ja Auf Spyware prüfen: Ja Auf Anwendungen prüfen: Ja Auf Dialer prüfen: Ja Auf Rootkits prüfen: Ja Optionen zur Zielauswahl: Registry-Schlüssel überprüfen: Ja Cookies überprüfen: Ja Boot-Sektoren überprüfen: Ja Speicher-Prozesse überprüfen: Ja Archive prüfen: Ja Laufzeitkomprimierung prüfen: Ja E-Mails prüfen: Nein Alle Dateien überprüfen: Ja Heuristische Prüfung: Ja Geprüfte Erweiterungen: Ausgeschlossene Erweiterungen: Ablauf für Ziel: Standardaktion, die bei einem Virenfund angewendet wird: Desinfiziert Standardaktion für verdächtige Objekte: Keine Standardaktion bei versteckten Objekten: Keine Standardaktion bei verschlüsselten infizierten Objekten: Keine Standardaktion bei verschlüsselten verdächtigen Objekten: Keine Standardaktion für passwortgeschützte Objekte: Als nicht geprüft protokollieren Zusammenfassung der Prüfung Anzahl der Virensignaturen: 4337591 Archiv Plug-Ins: 44 E-Mail Plug-Ins: 6 Scan Plug-Ins: 13 System Plug-Ins: 5 Entpackungs-Plug-Ins: 8 Gesamtübersicht der Prüfung Geprüfte Objekte: 125721 Infizierte Objekte: 4 Verdächtige Objekte: 0 Geklärte Objekte: 2 Ungeklärte Objekte: 2 Passwortgeschützte Objekte: 0 Kennwortgeschützte Objekte : 0 Einzelne Viren gefunden: 3 Geprüfte Datenverzeichnisse: 18986 Geprüfte Boot-Sektoren: 4 Geprüfte Archive: 1526 Input-Output Fehler: 51 Prüfzeit: 01:31:10 Dateien pro Sekunde: 22 Zusammenfassung der geprüften Prozesse Geprüft: 39 Infiziert: 0 Überprüft die Systemregistrierung von Windows Geprüft: 1034 Infiziert: 1 Übersicht der geprüften Cookies Geprüft: 20 Infiziert: 0 Verbleibende Probleme Objekt Name Name der Bedrohung Abschluss Status C:\Users\***\AppData\Local\Mozilla\Firefox\Profiles\gjxt7ri2.default\Cache\97890A1Ad01=](JAVASCRIPT) Exploit.PDF-JS.Gen Löschen fehlgeschlagen (Datei befand sich in einem Archiv) [System]=]HKEY_USERS\S-1-5-21-2296189637-3343357822-99168259-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\11752218=]C:\PROGRAMDATA\11752218\11752218.EXE Trojan.CryptRedol.Gen.5 Keine Aktion möglich Gelöste Probleme Objekt Name Name der Bedrohung Abschluss Status C:\ProgramData\11752218\11752218.exe Trojan.CryptRedol.Gen.5 Gelöscht C:\Windows\Temp\_ex-68.exe Trojan.CryptRedol.Gen.5 Gelöscht das war gestern. heute hält sich das "security tool" so ziemlich zurück, obwohl ja noch probleme bestehen. habe eben ccleaner ausgeführt und die angezeigten dateien gelöscht. malwarebytes' scannen lassen und weitere probleme gefunden: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2958 Windows 6.0.6002 Service Pack 2 15.10.2009 15:30:03 mbam-log-2009-10-15 (15-29-44).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 213228 Laufzeit: 1 hour(s), 3 minute(s), 32 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 5 Infizierte Speicherprozesse: C:\Windows\Temp\_ex-08.exe (Trojan.Dropper) -> No action taken. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\promoreg (Trojan.Dropper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\11752218 (Rogue.Multiple) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\ProgramData\11752218 (Rogue.Multiple) -> No action taken. Infizierte Dateien: C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5ZCFX2ED\win[1].exe (Trojan.Dropper) -> No action taken. C:\Users\***\AppData\Local\Temp\TMPCB3A.tmp (Trojan.Dropper) -> No action taken. C:\Users\***\Desktop\Security Tool.LNK (Rogue.SecurityTool) -> No action taken. C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> No action taken. C:\Windows\Temp\_ex-08.exe (Trojan.Dropper) -> No action taken. könnt ihr mir sagen wie es nun weitergeht? malwarebytes ist noch offen und ausser den log zu speichern hab ich noch keine aktion getätigt. mein vater sorgt sich sehr um seine urlaubsfotos... kann ich die auf ne externe platte ziehen oder sind die womöglich auch infiziert? vielen dank im vorraus.. hoffe habe mich an die konventionen gehalten. lieben gruss, psy |
Hallo psymobil Das was Malwarebytes gefunden hat kannst du erst einmal löschen (mit MBAM natürlich, nix von Hand löschen). Ich gehe mal davon aus daß da noch ein Rootkit im System sitzt. Um das herauszufinden werden wir GMER einsetzen. Führe das Programm nach der Anleitung aus und poste anschließend das log hier. Gruß Acid |
hallo acid, danke für deine schnelle antwort! gmer sagt folgendes: GMER 1.0.15.15125 - http://www.gmer.net Rootkit scan 2009-10-15 18:23:08 Windows 6.0.6002 Service Pack 2 Running: j3hy890e.exe; Driver: C:\Users\HEINRI~1\AppData\Local\Temp\uxrcqfow.sys ---- System - GMER 1.0.15 ---- SSDT \??\C:\Program Files\BitDefender\2009\BitDefender 2009\bdselfpr.sys ZwOpenProcess [0x9D2A3C90] SSDT \??\C:\Program Files\BitDefender\2009\BitDefender 2009\bdselfpr.sys ZwOpenThread [0x9D2A3D7E] SSDT \??\C:\Program Files\BitDefender\2009\BitDefender 2009\bdselfpr.sys ZwTerminateProcess [0x9D2A3BF4] SSDT \??\C:\Program Files\BitDefender\2009\BitDefender 2009\bdselfpr.sys ZwTerminateThread [0x9D2A3EC4] ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!KeInsertQueue + 5E1 824ABC18 4 Bytes [90, 3C, 2A, 9D] {NOP ; CMP AL, 0x2a; POPF } .text ntoskrnl.exe!KeInsertQueue + 5FD 824ABC34 4 Bytes [7E, 3D, 2A, 9D] .text ntoskrnl.exe!KeInsertQueue + 811 824ABE48 8 Bytes [F4, 3B, 2A, 9D, C4, 3E, 2A, ...] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Tcp bdftdif.sys Device \Driver\BTHUSB \Device\00000069 bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Udp bdftdif.sys Device \Driver\BTHUSB \Device\0000006b bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation) AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000278749a50 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00197de4a7d4 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000278749a50 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\00197de4a7d4 (not active ControlSet) ---- EOF - GMER 1.0.15 ---- sagt mir persönlich leider garnix. Gruß, Psy |
Hallo psymobil Zitat:
Verschaffen wir uns erst einmal einen Überblick vom System. Lade dir RSIT herunter und führe auch dieses Tool nach der Anleitung aus. Die beiden logs können unter Umständen sehr groß sein. Poste sie deshalb nicht sondern lade sie bei einem filehoster hoch oder einfach als Anhang auf deine Antwort. Gruß Acid |
Hi Acid, nochmals danke für Deine schnelle Antwort. :daumenhoc Das läuft ja super. Anbei die logs von rsit. Gruß, Psy |
Hallo psymobil Noch sind wir nicht fertig. :) Aber eine gute Nachricht hab ich schon, es ist kein Rootkit im System. Ich schau mir jetzt erst mal die logs an und melde mich dann später. Gruß Acid |
merci, ich werd dann auch erstma weiter meine brötchen verdienen, und schaue dann gegen abend nochmal rein. schönen tag dir! |
Hallo psymobil Die nächsten Tools sind jetzt dran damit wir beide auch was zu tun haben. :) Zunächst erstmal dieses hier http://www.trojaner-board.de/51871-a...tispyware.html poste das log bitte hier. Mache bitte auch noch einen Scan mit Panda Active Scan: Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 InstallationGruß Acid |
hallo acid303, SUPERAntiSpyware Scan Log h**p://www.superantispyware.com Generated 10/16/2009 at 07:02 PM Application Version : 4.29.1004 Core Rules Database Version : 4168 Trace Rules Database Version: 2090 Scan type : Complete Scan Total Scan Time : 00:33:13 Memory items scanned : 601 Memory threats detected : 0 Registry items scanned : 5765 Registry threats detected : 0 File items scanned : 26916 File threats detected : 9 Adware.Tracking Cookie C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atdmt[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.yieldmanager[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adfarm1.adition[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adtech[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@apmebf[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atdmt[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@weborama[2].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@atdmt[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\***@overture[2].txt Active scan steht momentan bei 24%.. mein magen auch.. deswegen muss ich nach haus. mein dad kriegts denk ich mal nicht hin den log zu posten, deshalb nunmal erst den von superantispyware. lieben gruß, psy |
Hallo psymobil Das SAS log ist auch ok, eventuell hat bit defender schon ganze Arbeit geleistet. Warten wir ab was Panda sagt. Gruß Acid |
coole sache acid, panda sagt "herzlichen glückwunsch" und bestätigt deine super leistung. :) vielen dank, und trotzdem hoffentlich nicht allzubald "bis zum nächsten mal" , sagt psymobil :party: |
Hallo psymobil Danke nicht mir sondern bit defender. Anscheinend hat das Programm mal was richtig gemacht. :) Ein paar Aufgaben hätte ich aber noch für dich:
Bevor ich den Rechner als geheilt entlasse hätte ich gerne noch das log vom Panda gesehen. Gruß Acid |
sorry acid, ich hab beim panda kein log gespeichert... die updates werd ich vornehmen sobald ich wieder bei meinem dad bin. tja. und jetzt hab ich selber nen trojaner drauf........ antivir meldet stündlich den tr/trash.gen hab zwar hier im forum viele einträge bezüglich tr/trash.gen gefunden, doch scheint mir die entfernung immer so individuell zu sein dass ich mich nicht traue, nach eigenem gutdünken irgendwelche dateien zu löschen... soll ich den hijacklog hier posten oder dafür ein neues thema aufmachen? wette du wirst wegen der ein oder andren sache schimpfen.....:rolleyes: ich poste den/das log erstmal hier.. bis ich was von dir höre.. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:15:29, on 19.10.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir Desktop\sched.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\System32\M-AudioTaskBarIcon.exe E:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Avira\AntiVir Desktop\avgnt.exe E:\Programme\AVEO\AVEO USB2.0 PC Camera\CamAppSTI.exe E:\Programme\Winamp\winampa.exe E:\Programme\Java\jre6\bin\jusched.exe E:\WINDOWS\system32\rundll32.exe E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe E:\Programme\Avira\AntiVir Desktop\avguard.exe E:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe E:\Programme\Java\jre6\bin\jqs.exe E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe E:\WINDOWS\system32\svchost.exe E:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe E:\WINDOWS\system32\wbem\wmiapsrv.exe E:\WINDOWS\system32\wuauclt.exe E:\Programme\Winamp\winamp.exe E:\Programme\Mozilla Firefox\firefox.exe E:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HiJackThis.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [JMB36X IDE Setup] E:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [JMB36X Configure] E:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [M-Audio Taskbar Icon] E:\WINDOWS\System32\M-AudioTaskBarIcon.exe O4 - HKLM\..\Run: [nwiz] E:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [CamAppSTI.exe] E:\Programme\AVEO\AVEO USB2.0 PC Camera\CamAppSTI.exe O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "E:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "E:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_0428.MSI" TRANSFORMS="E:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_0428.MST" WISE_SETUP_EXE_PATH="e:\nvidia\displaydriver\190.38\international\PhysX_9.09.0428_SystemSoftware.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: !SASWinLogon - E:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - E:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe -- End of file - 5566 bytes :killpc: viele grüße von psy der trojaner scheinbar irgendwie anzieht... und auf win7 spart.. |
Hallo psymobil Was machst du für Sachen? Der eine Rechner sauber und nun der nächste dran? ;) Von mir aus können wir hier ruhig weiter machen. :) http://www.trojaner-board.de/69886-a...-beachten.html Punkt 2 abarbeiten und wieder alle logs als Anhang. Wollen wir doch mal sehen mit was wir es zu tun haben. Gruß Acid |
ich weiss auch nich was los ist.. komme ausm urlaub, switche die mehrfachsteckdose an, starte pc.. nix passiert-> netzteil kaputt. (gottseidank "nur") dann den lappi meines dads für einen tag ausgeliehen..zack verseucht. nun neues netzteil drin und nu gehts bei mir weiter -.- naja wenigstens ist dieses board bzw du ein kleiner bis mittelgrosser hoffnungsschimmer. also.. bei ccleaner bei der registry.. findets immer wieder den gleichen eintrag (hab zig mal auf fehler beheben geklickt): [HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}] ja.. und während malwarebytes scannte hat sich antivir auf einmal gemeldet, erneut mit folgender ansage: In der Datei 'E:\System Volume Information\_restore{E21D20BE-C44E-471F-A255-92463DFF3224}\RP46\A0005193.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern erst als ich "zugriff verweigern" geklickt hab lief der malwarebytes-scan weiter und wurde erfolgreich abgeschlossen, keine infizierten objekte gefunden! hm hätte ich antivir gesagt.. datei belassen hätt malwarebytes sie wohl gefunden? Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2973 Windows 5.1.2600 Service Pack 2 19.10.2009 13:29:43 mbam-log-2009-10-19 (13-29-43).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 193218 Laufzeit: 29 minute(s), 50 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) die weiteren logs als anhang... gruß, psy |
Hallo psymobil Code: [HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}]Code: 'E:\System Volume Information\_restore{E21D20BE-C44E-471F-A255-92463DFF3224}\RP46\A0005193.exe'start / systemsteuerung / system / systemwiederherstellung / systemwiederherstellung auf allen laufwerken deaktivieren Danach bitte erneut ein Komplett Scan mit Malwarebytes. Stecke bei diesem scan auch alle eventuell vorhandenen externen Festplatten oder USB Sticks bei gedrückter shift Tase an den Rechner an so daß die Autostart Funktion nicht aktiviert wird. Deaktiviere auch den Guard von Antivir für den Scan. Bitte danach nicht vergessen den wieder zu starten. Gruß Acid |
hola acid, hab getan wie du mir geraten hast, erneut keine infizierten dateien gefunden! Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2973 Windows 5.1.2600 Service Pack 2 19.10.2009 18:00:45 mbam-log-2009-10-19 (18-00-45).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 188801 Laufzeit: 27 minute(s), 35 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) hm! soll/kann ich die systemherstellung wieder anmachen..? lieben gruß, psy |
Hallo psymobil Schaue bitte mal unter Code: E:\System Volume Information\_restore{E21D20BE-C44E-471F-A255-92463DFF3224}\RP46\Gruß Acid |
hallo acid, ich kann den system volume information ordner nicht öffnen! zugriff verweigert! sowas ist mir aber auch noch nie passiert.... grad bei ordneroptionen einstellungen dazu gesucht..bei "inhalte von systemordnern anzeigen" ein häkchen gemacht, trotzdem.. auf ":E:\System Volume Information kann nicht zugegriffen werden. zugriff verweigert." was nun. liegts vielleicht daran dass ich kein benutzerprofil erstellt hab.. von wegen administrator oder so..? lg, psy |
Hallo psymobil Lassen wir das, da kommst du so nicht dran. Hab ich nicht bedacht. Aktiviere die Systemwiederherstellung und dann den Antivir Scan. EDIT: Noch eines sehr wichtiges liegt an: Deaktivieren der Systemwiederherstellung (da du dich sonst aufgrund eines alten Systemwiederherstellungspunktes neu infizieren könntest) 1. Start anklicken 2. Systemsteuerung anwählen 3. System anwählen 4. reiter "Systemwiederherstellung" oben 5. Systemwiederherstellung auf allen Laufweken deaktivieren Haken reinsetzen -> Übernehmen -> OK 6. Restart 7. Haken rausnehmen -> OK Gruß Acid |
okay... nun mal ein andrer :(: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 19. Oktober 2009 19:20 Es wird nach 1800842 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HOLLY Versionsinformationen: BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 02.09.2009 19:47:56 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 19:47:56 ANTIVIR2.VDF : 7.1.6.112 4833792 Bytes 15.10.2009 18:37:49 ANTIVIR3.VDF : 7.1.6.118 45568 Bytes 16.10.2009 18:37:50 Engineversion : 8.2.1.35 AEVDF.DLL : 8.1.1.2 106867 Bytes 15.09.2009 22:40:16 AESCRIPT.DLL : 8.1.2.35 483707 Bytes 12.10.2009 18:08:53 AESCN.DLL : 8.1.2.5 127346 Bytes 03.09.2009 22:51:06 AERDL.DLL : 8.1.3.2 479604 Bytes 12.10.2009 18:08:52 AEPACK.DLL : 8.2.0.0 422261 Bytes 15.09.2009 22:40:16 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 02.09.2009 19:47:56 AEHEUR.DLL : 8.1.0.167 2011511 Bytes 12.10.2009 18:08:51 AEHELP.DLL : 8.1.7.0 237940 Bytes 03.09.2009 22:51:06 AEGEN.DLL : 8.1.1.67 364916 Bytes 12.10.2009 18:08:49 AEEMU.DLL : 8.1.1.0 393587 Bytes 12.10.2009 18:08:48 AECORE.DLL : 8.1.8.1 184693 Bytes 15.09.2009 22:40:15 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 22:40:10 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 02.09.2009 19:47:56 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: e:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, F:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Montag, 19. Oktober 2009 19:20 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '27495' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinTV2K.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CamAppSTI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'M-AudioTaskBarIcon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '40' Prozesse mit '40' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '52' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <WinXP> Beginne mit der Suche in 'D:\' <FreeAgent Drive> D:\System Volume Information\_restore{E21D20BE-C44E-471F-A255-92463DFF3224}\RP50\A0005441.exe [FUND] Ist das Trojanische Pferd TR/Renaz.4320 Beginne mit der Suche in 'E:\' E:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. E:\WINDOWS\SoftwareDistribution\Download\fcb1ef701fdbbb808720a12edfc33d0e\BIT1.tmp [0] Archivtyp: CAB (Microsoft) --> _sfx_0003._p [WARNUNG] Die Datei konnte nicht geschrieben werden! --> _sfx_0008._p [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Beginne mit der Suche in 'F:\' <Daten> Beginne mit der Desinfektion: D:\System Volume Information\_restore{E21D20BE-C44E-471F-A255-92463DFF3224}\RP50\A0005441.exe [FUND] Ist das Trojanische Pferd TR/Renaz.4320 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b0ca74b.qua' verschoben! Ende des Suchlaufs: Montag, 19. Oktober 2009 19:51 Benötigte Zeit: 29:41 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6744 Verzeichnisse wurden überprüft 257041 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 257039 Dateien ohne Befall 2589 Archive wurden durchsucht 4 Warnungen 2 Hinweise 27495 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden hjoa. irgendwie scheint der zu streuen... grüße, psy |
Hallo psymobil Nein der streut nicht. Der miese Hund sitzt in der Systemwiederherstellung. :) Probieren wir das mal anders um den da rauszubekommen. Systemwiederherstellung leeren * Start --> Alle Programme--> Zubehör --> Systemprogramme --> Systemwiederherstellung * Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter * Gebe den Punkt einen merkbaren Namen ( z.B. Bereinigung) ein --> Erstellen --> Schließen. * Start --> Ausführen --> cleanmgr (reinschreiben) --> OK --> Reiter Weitere Optionen * Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja --> OK Gruß Acid |
guten morgen! hab einen wiederherstellungspunkt erstellt, wenn ich aber auf start->ausführen und cleanmgr eingeb, gibt er mir nur eine auswahl der zu bereinigenden laufwerke an. da gibt es keinen reiter "weitere optionen"! oder erstmal neustarten, nach dem erstellen des wiederherstellungspunkts..? lg, psy |
:kaffee: trau mich irgendwie nich, einfach auf bereinigen zu klicken... hört sich so endgültig an.. |
Hallo psymobil Sorry für die späte Meldung. Wenn du den Wiederherstellungspunkt erstellt hast und cleanmgr eingegeben hast, bekommst du ja das kleine Fenster wo du die Laufwerke auswählen kannst. Da wählst du dann Laufwerk C -> ok. Windows überprüft dann das Laufwerk, was einige Zeit dauern kann. Wenn Windows damit fertig ist öffnet sich ein neues Fenster wo du dann auch besagten Reiter "Weitere Optionen hast". Wenn du dort dann unter Systemwiederherstellungen auf "bereinigen" klickst wirst du gefragt ob du alle Wiederherstellungspunkte bis auf den letzten löschen möchtest. Das dann bestätigen. Erstelle also nochmal einen Wiederherstellungspunkt und gehe wie beschrieben vor. Gruß Acid |
hallo acid, will mich jetzt echt nich blöd stellen aber geh ich richtig in der annahme dass ich ALLE laufwerke bereinigen soll.. oder nur das wo's system drauf ist? das wär bei mir E:\... und antivir fand ja auch irgendwas auf D:\.. also alle laufwerke bereinigen? :dummguck: gruß, psy |
Kurz reinhüpf :) Soweit ich sehe, geht es ja nur um die Systemwiederherstellung. EInfach im Reiter auf Weiter Optionen klicken, Systemwiederherstellung bereinigen. Dann wars das damit. Die löscht einfach alle Systemwiederherstellungspunkte ausser den letzten :) |
hi larusso, nett dass du reingehüpft bist, aber das problem ist ja, dass ich erst ein laufwerk wählen soll und DANN erst zu den weiteren optionen komm. daher die frage welches laufwerk ich wählen soll. oder vielleicht bin ich einfach zu vorsichtig und probiers einfach aus... bereinigen ist ja nicht gleich löschen hoffe ich... lg, psy |
ups :D Ich hab nur eine Platte. Ja nimm beide. |
okay, hab alle durch :) und nur bei E:\ hat "er" auch gegengecheckt, ob ich wirklich alle wiederherstellungspunkte löschen will. hat anscheinend geklappt. antivir meckert seit gestern irgendwie auch nich mehr.. froher hoffnung bin :) gruß, psy |
hab jetzt nochmal online vom panda scannen lassen und bei 54% hat er sich aufgehangen, mit 7 infizierten dateien und 33 schwachstellen :balla: |
Hallo psymobil Das hört sich jetzt aber garnicht gut an. Antivir meldet nichts mehr? Versuche mal einen Scan mit dem eset online scanner. Internet Explorer: ESET Online Scanner - ESET - Antivirus Software mit Schutz vor Spyware und Malware Falls du einen anderen Browser nuzt, lade dir den ESET Smart installer hier herunter http://download.eset.com/special/eos...taller_deu.exe. Nach dem Scan hast du die Möglichkeit den und alle seine Komponenten zu deinstallieren. Positive und auch negative Rückmeldung erwünscht. :) Gruß Acid |
hallo acid, eset läd grad die datenbank und wird dann hoffentlich brav scannen. melde mich sobalds durch ist. gruß, psymobil |
eset online scanner sagt keine bedrohungen gefunden......... hm... bin jetz irgendwie skeptisch?! |
Hallo psymobil Wenn ich ja jetzt wüsste was der Panda dir angezeigt hat, könnte ich da bestimmt mehr zu sagen. Ich mach mich mal schlau warum der Panda abgestürzt sein könnte. Gruß Acid |
hallo acid, hab grad nochmal vom panda scannen lassen, wieder hing er ne weile bei ~40% doch letztendlich hats gefluppt: ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-10-22 13:38:34 PROTECTIONS: 1 MALWARE: 6 SUSPECTS: 2 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== AntiVir Desktop 9.0.1.32 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No e:\dokumente und einstellungen\***\cookies\***@doubleclick[2].txt 00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No e:\dokumente und einstellungen\***\cookies\***@tradedoubler[1].txt 00160377 Adware/Ucmore Adware No 0 Yes No e:\dokumente und einstellungen\***\favoriten\nch software download.lnk 00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\dokumente und einstellungen\besitzer\cookies\besitzer@com[1].txt 00262020 Cookie/Atwola TrackingCookie No 0 Yes No e:\dokumente und einstellungen\***\cookies\***@atwola[1].txt 03738741 Generic Malware Virus/Trojan No 0 No No e:\dokumente und einstellungen\***\eigene dateien\downloads\cryptload_1.1.8.rar[ocr\netload.in\asmcaptcha\test.exe] 03738741 Generic Malware Virus/Trojan No 0 Yes No e:\dokumente und einstellungen\***\desktop\cryptload\ocr\netload.in\asmcaptcha\test.exe ;===================================================================================================================================================== ============================== SUSPECTS Sent Location ;===================================================================================================================================================== ============================== No e:\system volume information\_restore{e21d20be-c44e-471f-a255-92463dff3224}\rp52\a0005593.exe No e:\system volume information\_restore{e21d20be-c44e-471f-a255-92463dff3224}\rp52\a0005594.exe ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description ;===================================================================================================================================================== ============================== 191613 HIGH MS08-020 187733 HIGH MS08-008 182046 HIGH MS07-067 179553 HIGH MS07-061 170904 HIGH MS07-043 157260 HIGH MS07-020 157259 HIGH MS07-019 156477 HIGH MS07-017 150249 HIGH MS07-013 150248 HIGH MS07-012 150247 HIGH MS07-011 150243 HIGH MS07-008 150242 HIGH MS07-007 150241 MEDIUM MS07-006 141033 MEDIUM MS06-075 137571 HIGH MS06-070 133379 HIGH MS06-057 129977 MEDIUM MS06-053 129976 MEDIUM MS06-052 126092 MEDIUM MS06-050 126087 HIGH MS06-046 126086 MEDIUM MS06-045 126082 HIGH MS06-041 123421 HIGH MS06-036 120818 HIGH MS06-025 120815 HIGH MS06-022 117384 MEDIUM MS06-018 114666 HIGH MS06-015 108744 MEDIUM MS06-008 108742 MEDIUM MS06-006 96574 HIGH MS05-053 93395 HIGH MS05-051 93454 MEDIUM MS05-049 ;===================================================================================================================================================== ============================== :crazy: lieben gruß, psy |
Hallo psymobil Zitat:
Unser "Freund" ist anscheinend immernoch da :aufsmaul: Zitat:
Gruß Acid |
hallo acid, also --> 03738741 Generic Malware Virus/Trojan No 0 Yes No e:\dokumente und einstellungen\***\desktop\cryptload\ocr\netload.in \asmcaptcha\test.exe sagt mir nix! cryptload allerdings schon..richtig, ist ein dl-manager wenn man so will. brauch den aber nich wirklich.. vielleicht einfach mal deinstalliern. aber wie sich unser falscher freund da wieder reingeschmuggelt hat is mir ein rätsel.. gruß, psy |
Hallo psymobil Also wenn du das Teil nicht brauchst würd ich´s mal deinstallieren aber erstmal versuchen wir den lästigen Systemwiederherstellungs-Besetzer loszuwerden. :) Versuche nocheinmal die Systemwiederherstellung zu leeren aber diesmal dafür den CCleaner nutzen. Starte das Programm, gehe auf Extras und klicke dort auf Systemwiederherstellung. Alle bis auf den Letzten markieren und auf entfernen. Danach den Rechner neustarten. Anschließend bitte einen Quickscan mit Malwarebytes (vorher updaten). Das log dann posten. Gruß Acid |
hi acid, ok hab cryptload gelöscht; bei der systemwiederherstellung gabs nur einen punkt zu löschen,- hab dann einfach ma noch einen erstellt, namens "sauber".. optimistisch wie ich bin. dann die mittlerweile 2 sys.-wiederherst.punkte mit ccleaner gelöscht, malewarebytes upgedated und quickscan durchgeführt. keine infizierten dateien gefunden! Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3012 Windows 5.1.2600 Service Pack 2 22.10.2009 18:25:28 mbam-log-2009-10-22 (18-25-28).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 87681 Laufzeit: 1 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) joa. und wenn ich jetz panda mach sagt der wieder uiuiui.. bestimmt :/ lieben gruß, psy |
Hallo psymobil Probieren wir´s aus. ;) Aber vorher bitte einen kompletten Scan mit Antivir und dann erst den Panda. Gruß Acid |
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 22. Oktober 2009 20:36 Es wird nach 1815437 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HOLLY Versionsinformationen: BUILD.DAT : 9.0.0.410 18074 Bytes 25.09.2009 11:51:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 02.09.2009 19:47:56 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 19:47:56 ANTIVIR2.VDF : 7.1.6.112 4833792 Bytes 15.10.2009 18:37:49 ANTIVIR3.VDF : 7.1.6.139 238080 Bytes 22.10.2009 18:11:29 Engineversion : 8.2.1.44 AEVDF.DLL : 8.1.1.2 106867 Bytes 15.09.2009 22:40:16 AESCRIPT.DLL : 8.1.2.40 487804 Bytes 22.10.2009 18:11:41 AESCN.DLL : 8.1.2.5 127346 Bytes 03.09.2009 22:51:06 AERDL.DLL : 8.1.3.2 479604 Bytes 12.10.2009 18:08:52 AEPACK.DLL : 8.2.0.2 422263 Bytes 22.10.2009 18:11:36 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 02.09.2009 19:47:56 AEHEUR.DLL : 8.1.0.167 2011511 Bytes 12.10.2009 18:08:51 AEHELP.DLL : 8.1.7.0 237940 Bytes 03.09.2009 22:51:06 AEGEN.DLL : 8.1.1.68 364918 Bytes 20.10.2009 18:30:07 AEEMU.DLL : 8.1.1.0 393587 Bytes 12.10.2009 18:08:48 AECORE.DLL : 8.1.8.1 184693 Bytes 15.09.2009 22:40:15 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 22:40:10 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 02.09.2009 19:47:56 RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: e:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, F:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Donnerstag, 22. Oktober 2009 20:36 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '27539' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CamAppSTI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'M-AudioTaskBarIcon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '37' Prozesse mit '37' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '52' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <WinXP> Beginne mit der Suche in 'D:\' <FreeAgent Drive> Beginne mit der Suche in 'E:\' E:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. E:\WINDOWS\SoftwareDistribution\Download\fcb1ef701fdbbb808720a12edfc33d0e\BIT1.tmp [0] Archivtyp: CAB (Microsoft) --> _sfx_0003._p [WARNUNG] Die Datei konnte nicht geschrieben werden! --> _sfx_0008._p [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Beginne mit der Suche in 'F:\' <Daten> Ende des Suchlaufs: Donnerstag, 22. Oktober 2009 21:06 Benötigte Zeit: 29:50 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6851 Verzeichnisse wurden überprüft 263574 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 263573 Dateien ohne Befall 2616 Archive wurden durchsucht 4 Warnungen 1 Hinweise 27539 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
Das sieht doch schon mal nach was aus. Wir kommen der Sache näher. :) Gruß Acid |
hola, irgendwas war da eben schief gelaufen.. hatte, mein ich, irgendwas auch geschrieben.. nich nur einfach das log geposted. nun ja. also panda meckert.. allerdings nich mehr so böse... allerdings den kleinen wicht in der systemsteuerung sollten wir noch irgendwie zu fassen kriegen.. grüße, psy |
Hallo psymobil MBAM log und AV log sind sauber, ich gehe jetzt ganz stark von einem Fehlalarm vom Panda aus. Jetzt nur noch
Wir sind durch, dein Rechner ist entlassen. :) Gruß Acid |
hi acid,danke für die tipps, hab jetzt service pack 3 drauf und auch sonst noch viele updates gezogen.. hab panda nochma durchsemmeln lassen.. vielleicht guckst du nochma kurz drüber..? die cookies.. einfach löschen oder sind die garnich böse? ansonsten erstma vielen dank! sind ja schon ewig dran irgendwie. schönes wochenende! psy ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-10-24 15:17:34 PROTECTIONS: 1 MALWARE: 6 SUSPECTS: 0 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== AntiVir Desktop 9.0.1.32 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No e:\dokumente und einstellungen\***\cookies\***@doubleclick[2].txt 00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No e:\dokumente und einstellungen\***\cookies\***@atdmt[1].txt 00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No e:\dokumente und einstellungen\***\cookies\***@tradedoubler[1].txt 00160377 Adware/Ucmore Adware No 0 Yes No e:\dokumente und einstellungen\***\favoriten\nch software download.lnk 00167642 Cookie/Com.com TrackingCookie No 0 Yes No c:\dokumente und einstellungen\besitzer\cookies\besitzer@com[1].txt 00262020 Cookie/Atwola TrackingCookie No 0 Yes No e:\dokumente und einstellungen\***\cookies\***@atwola[1].txt ;===================================================================================================================================================== ============================== SUSPECTS Sent Location ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== |
Hallo psymobil Diese cookies sind nicht wirklich "böse" die kannst du ruhig bedenkenlos löschen. Zitat:
Gruß Acid |
hallo acid, ok.. klasse.. herzlichen dank für deine mühe! liebe grüße, psy |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board