Trojaner-Board
Seite 3 von 6 12 3 45 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   wA6mruD6.exe öffnet sich dauernd im Hintergund (https://www.trojaner-board.de/86118-wa6mrud6-exe-oeffnet-dauernd-hintergund.html)

Tror 18.05.2010 13:59
ok, werd mich gleich dran machen.
Eins hab ich vorher noch...wie erwähnt hatte ich ja, wohl durch das rootkit bedingt, dauernde Antivir-meldungen in meinen normalen Progamm-exe-files...das waren immer TR/Agent.36864.lj-Meldungen...jetzt kommen ab und zu genau solche Meldungen für Dateien im restore-Ordner in C:\System Volume Information.
Ich hoffe mal da bahnt sich nicht schon wieder was an...in ein paar minuten kommt der MB-scan-bericht.

Angel21 18.05.2010 14:05
das ist da soweit ungefährlich.

Tror 18.05.2010 14:12
also muss ich mir darum nicht wirklich sorgen machen?
Die meldung taucht nämlich an so einigen Orten auf wie
C:\WINDOWS\ime\imjp8_1\imjpmig.exe.tmp
oder im Qoobox-ordner der wohl von der Bereinigung von CF stammt oder?


Hier jetzt der MB-log:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4111

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.05.2010 15:14:24
mbam-log-2010-05-18 (15-14-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 112005
Laufzeit: 9 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\wA6MruD6.exe.vir (Backdoor.Sinowal) -> Quarantined and deleted successfully.

Angel21 18.05.2010 14:24
Öffne dein Antiviren Scanner und mache hiermit einen Durchlauf.

Den Scanbericht dessen bitte hier posten.

Tror 18.05.2010 14:36
hier der Bericht:
Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 18. Mai 2010  15:32

Es wird nach 2119628 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : Tror
Computername  : BKB

Versionsinformationen:
BUILD.DAT      : 10.0.0.567          Bytes  19.04.2010 15:50:00
AVSCAN.EXE    : 10.0.3.0      433832 Bytes  01.04.2010 11:37:35
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  30.03.2010 10:42:16
LUKE.DLL      : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 04:37:49
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 04:37:49
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 18:08:34
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 06:51:23
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 08:32:18
VBASE005.VDF  : 7.10.6.82    2494464 Bytes  15.04.2010 23:27:16
VBASE006.VDF  : 7.10.6.83      2048 Bytes  15.04.2010 23:27:16
VBASE007.VDF  : 7.10.6.84      2048 Bytes  15.04.2010 23:27:16
VBASE008.VDF  : 7.10.6.85      2048 Bytes  15.04.2010 23:27:16
VBASE009.VDF  : 7.10.6.86      2048 Bytes  15.04.2010 23:27:16
VBASE010.VDF  : 7.10.6.87      2048 Bytes  15.04.2010 23:27:16
VBASE011.VDF  : 7.10.6.88      2048 Bytes  15.04.2010 23:27:16
VBASE012.VDF  : 7.10.6.89      2048 Bytes  15.04.2010 23:27:16
VBASE013.VDF  : 7.10.6.90      2048 Bytes  15.04.2010 23:27:16
VBASE014.VDF  : 7.10.6.123    126464 Bytes  19.04.2010 23:27:16
VBASE015.VDF  : 7.10.6.152    123392 Bytes  21.04.2010 23:27:16
VBASE016.VDF  : 7.10.6.178    122880 Bytes  22.04.2010 23:27:17
VBASE017.VDF  : 7.10.6.206    120320 Bytes  26.04.2010 04:12:27
VBASE018.VDF  : 7.10.6.232    99328 Bytes  28.04.2010 02:27:47
VBASE019.VDF  : 7.10.7.2      155648 Bytes  30.04.2010 19:26:18
VBASE020.VDF  : 7.10.7.26    119808 Bytes  04.05.2010 15:44:53
VBASE021.VDF  : 7.10.7.51    118272 Bytes  06.05.2010 13:42:58
VBASE022.VDF  : 7.10.7.75    404992 Bytes  10.05.2010 15:48:55
VBASE023.VDF  : 7.10.7.100    125440 Bytes  13.05.2010 07:23:57
VBASE024.VDF  : 7.10.7.101      2048 Bytes  13.05.2010 07:23:57
VBASE025.VDF  : 7.10.7.102      2048 Bytes  13.05.2010 07:23:57
VBASE026.VDF  : 7.10.7.103      2048 Bytes  13.05.2010 07:23:57
VBASE027.VDF  : 7.10.7.104      2048 Bytes  13.05.2010 07:23:57
VBASE028.VDF  : 7.10.7.105      2048 Bytes  13.05.2010 07:23:57
VBASE029.VDF  : 7.10.7.106      2048 Bytes  13.05.2010 07:23:57
VBASE030.VDF  : 7.10.7.107      2048 Bytes  13.05.2010 07:23:57
VBASE031.VDF  : 7.10.7.112    76800 Bytes  16.05.2010 07:23:57
Engineversion  : 8.2.1.242
AEVDF.DLL      : 8.1.2.0      106868 Bytes  24.04.2010 23:27:23
AESCRIPT.DLL  : 8.1.3.29    1343866 Bytes  13.05.2010 21:02:10
AESCN.DLL      : 8.1.6.1      127347 Bytes  13.05.2010 21:02:09
AESBX.DLL      : 8.1.3.1      254324 Bytes  24.04.2010 23:27:23
AERDL.DLL      : 8.1.4.6      541043 Bytes  24.04.2010 23:27:22
AEPACK.DLL    : 8.2.1.1      426358 Bytes  19.03.2010 16:45:17
AEOFFICE.DLL  : 8.1.1.0      201081 Bytes  13.05.2010 21:02:08
AEHEUR.DLL    : 8.1.1.27    2670967 Bytes  05.05.2010 15:44:59
AEHELP.DLL    : 8.1.11.3      242039 Bytes  02.04.2010 06:31:14
AEGEN.DLL      : 8.1.3.9      377203 Bytes  13.05.2010 21:02:08
AEEMU.DLL      : 8.1.2.0      393588 Bytes  24.04.2010 23:27:19
AECORE.DLL    : 8.1.15.3      192886 Bytes  13.05.2010 21:02:08
AEBB.DLL      : 8.1.1.0        53618 Bytes  24.04.2010 23:27:18
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL    : 10.0.0.0      44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8      62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0      53096 Bytes  01.04.2010 11:35:44
AVSCPLR.DLL    : 10.0.3.0      83816 Bytes  01.04.2010 11:39:49
AVARKT.DLL    : 10.0.0.14    227176 Bytes  01.04.2010 11:22:11
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL    : 10.0.53.0      98152 Bytes  09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: löschen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Dateierweiterungsliste verwenden
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 18. Mai 2010  15:32

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '903' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\WINDOWS\ime\imjp8_1\imjpmig.exe.tmp
    [FUND]      Ist das Trojanische Pferd TR/Agent.36864.LJ
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56bb277f.qua' verschoben!


Ende des Suchlaufs: Dienstag, 18. Mai 2010  15:39
Benötigte Zeit: 06:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  2828 Verzeichnisse wurden überprüft
  62275 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
  62274 Dateien ohne Befall
    517 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
  25554 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
ich mach grad nochmal nen neuen Scan mit antivir, weil ich grad noch auf aggressive Einstellung umgestellt habe.
Wenn du das Log nich brauchst sag bescheid

fckoeln 18.05.2010 14:47
Wenn der zuende ist,
bitte nochmal HJ Log posten.

Angel21 18.05.2010 14:48
Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
  • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
    Vista-User mit Rechtsklick und als Administrator starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
    Code:
    :file
    imjpmig.exe.tmp
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

@FCKOELN
Vorab: Halte dich bitte raus, Danke!
Tror bitte auf mich achten, nicht auf FCKoeln

Tror 18.05.2010 14:48
ok mach ich.
den neuen Antivirscan möchteste dann auch nochmal sehen oder?

fckoeln 18.05.2010 14:50
Ich ja.
Angel24 bestimmt auch:daumenhoc.

Angel21 18.05.2010 14:52
FCKoeln halte dich raus, TROR achte bitte auf mich! Nicht auf ihn.
Mache nur die Schritte, die ich Dir sage, nicht was Reinplatzer sagen.

fckoeln 18.05.2010 15:00
Jeder darf hier schreiben.

Tror 18.05.2010 15:01
ok hier dann erstmal der System-Look-bericht:
Code:
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 16:03 on 18/05/2010 by Tror (Limited User)

========== file ==========

imjpmig.exe.tmp - Unable to find/read file.

-=End Of File=-
Antivir auf aggressiv läuft noch...soll das jetzt weiterlaufen oder kann ichs abbrechen und du brauchst den Bericht nicht Angel?

Angel21 18.05.2010 15:01
Um es nochmal freundlich auszudrücken, Bitte lass es sein. Ansonsten muss ich Mittel ergreifen, dass du es sein lässt, wenn du bereinigen willst such dir nen Forum.

Angel21 18.05.2010 15:07
Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
  • Doppelklick auf die SystemLook.exe, um das Tool zu starten.
    Vista-User mit Rechtsklick und als Administrator starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
    Code:
    :filefind
    imjpmig.exe.tmp
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Tror 18.05.2010 15:15
hier dann der nochmalige Systemlook-bericht:
Code:
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 16:16 on 18/05/2010 by Tror (Limited User)

========== filefind ==========

Searching for "imjpmig.exe.tmp"
No files found.

-=End Of File=-


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:42 Uhr.
Seite 3 von 6 12 3 45 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131