Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   java/agent.yio.3361 und andere (https://www.trojaner-board.de/88291-java-agent-yio-3361-andere.html)

victor 17.07.2010 12:03
java/agent.yio.3361 und andere
 
nun habe auch ich den weg hierher gefunden:rolleyes: leider hat es nun auch mich getroffen.

vor einigen tagen schlug mein avira das erste mal alarm -> lqou.exe & tr/fraudpack.azhu. ich habe die besagten dateien gelöscht und blöderweise mir nichts weiter dabei gedacht, da mein pc ansonsten eigentlich ohne murren läuft. evtl läuft er n tick langsamer, könnte es mir aber auch einbilden

wie auch immer, nun gab es gestern wieder eine meldung, weswegen ich inzwischen skeptisch geworden bin, ob der pc nach den löschungen wirklich frei von derlei schund ist. daher habe ich dieses forum nun aufgesucht :) gemeldet wurde gestern "java/agent.yio.3361", was laut google wohl was mit backdoor zu tun haben könnte :rolleyes:


avira logfile:

Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 16. Juli 2010  20:13

Es wird nach 2354648 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  :
Computername  :

Versionsinformationen:
BUILD.DAT      : 10.0.0.567    32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE    : 10.0.3.0      433832 Bytes  19.04.2010 16:14:27
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  19.04.2010 16:14:27
LUKE.DLL      : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF  : 7.10.1.0    1372672 Bytes  19.11.2009 13:02:22
VBASE002.VDF  : 7.10.3.1    3143680 Bytes  20.01.2010 13:02:26
VBASE003.VDF  : 7.10.3.75    996864 Bytes  26.01.2010 13:02:28
VBASE004.VDF  : 7.10.4.203  1579008 Bytes  05.03.2010 19:49:21
VBASE005.VDF  : 7.10.6.82    2494464 Bytes  15.04.2010 09:57:40
VBASE006.VDF  : 7.10.7.218  2294784 Bytes  02.06.2010 08:17:27
VBASE007.VDF  : 7.10.7.219      2048 Bytes  02.06.2010 08:17:28
VBASE008.VDF  : 7.10.7.220      2048 Bytes  02.06.2010 08:17:28
VBASE009.VDF  : 7.10.7.221      2048 Bytes  02.06.2010 08:17:28
VBASE010.VDF  : 7.10.7.222      2048 Bytes  02.06.2010 08:17:28
VBASE011.VDF  : 7.10.7.223      2048 Bytes  02.06.2010 08:17:28
VBASE012.VDF  : 7.10.7.224      2048 Bytes  02.06.2010 08:17:28
VBASE013.VDF  : 7.10.8.37    270336 Bytes  10.06.2010 19:04:56
VBASE014.VDF  : 7.10.8.69    138752 Bytes  14.06.2010 17:01:35
VBASE015.VDF  : 7.10.8.102    130560 Bytes  16.06.2010 10:46:06
VBASE016.VDF  : 7.10.8.135    152064 Bytes  21.06.2010 18:07:32
VBASE017.VDF  : 7.10.8.163    432128 Bytes  23.06.2010 16:42:02
VBASE018.VDF  : 7.10.8.194    133632 Bytes  27.06.2010 12:31:41
VBASE019.VDF  : 7.10.8.220    134656 Bytes  29.06.2010 06:23:17
VBASE020.VDF  : 7.10.8.252    171520 Bytes  04.07.2010 07:20:43
VBASE021.VDF  : 7.10.9.19    131072 Bytes  06.07.2010 07:59:07
VBASE022.VDF  : 7.10.9.36    297472 Bytes  07.07.2010 07:59:07
VBASE023.VDF  : 7.10.9.60    150016 Bytes  11.07.2010 19:11:47
VBASE024.VDF  : 7.10.9.79    113152 Bytes  13.07.2010 11:04:40
VBASE025.VDF  : 7.10.9.99    158720 Bytes  16.07.2010 18:12:44
VBASE026.VDF  : 7.10.9.100      2048 Bytes  16.07.2010 18:12:44
VBASE027.VDF  : 7.10.9.101      2048 Bytes  16.07.2010 18:12:44
VBASE028.VDF  : 7.10.9.102      2048 Bytes  16.07.2010 18:12:44
VBASE029.VDF  : 7.10.9.103      2048 Bytes  16.07.2010 18:12:44
VBASE030.VDF  : 7.10.9.104      2048 Bytes  16.07.2010 18:12:44
VBASE031.VDF  : 7.10.9.108    67584 Bytes  16.07.2010 18:12:45
Engineversion  : 8.2.4.12 
AEVDF.DLL      : 8.1.2.0      106868 Bytes  25.04.2010 10:35:35
AESCRIPT.DLL  : 8.1.3.40    1360250 Bytes  15.07.2010 20:34:30
AESCN.DLL      : 8.1.6.1      127347 Bytes  14.05.2010 09:32:58
AESBX.DLL      : 8.1.3.1      254324 Bytes  25.04.2010 10:35:35
AERDL.DLL      : 8.1.4.6      541043 Bytes  16.04.2010 09:57:46
AEPACK.DLL    : 8.2.2.6      430452 Bytes  15.07.2010 20:34:30
AEOFFICE.DLL  : 8.1.1.6      201081 Bytes  07.07.2010 06:31:57
AEHEUR.DLL    : 8.1.1.38    2724214 Bytes  24.06.2010 16:42:05
AEHELP.DLL    : 8.1.11.6      242038 Bytes  24.06.2010 16:42:03
AEGEN.DLL      : 8.1.3.14      381299 Bytes  15.07.2010 20:34:29
AEEMU.DLL      : 8.1.2.0      393588 Bytes  25.04.2010 10:35:34
AECORE.DLL    : 8.1.15.4      192886 Bytes  15.07.2010 20:34:29
AEBB.DLL      : 8.1.1.0        53618 Bytes  25.04.2010 10:35:34
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL    : 10.0.0.0      44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8      62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0      53096 Bytes  19.04.2010 16:14:27
AVSCPLR.DLL    : 10.0.3.0      83816 Bytes  19.04.2010 16:14:27
AVARKT.DLL    : 10.0.0.14    227176 Bytes  19.04.2010 16:14:27
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0      11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL    : 10.0.53.0      98152 Bytes  19.04.2010 16:14:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+SPR,

Beginn des Suchlaufs: Freitag, 16. Juli 2010  20:13

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Zone Labs\ZoneAlarm\blockcount
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Zone Labs\ZoneAlarm\incomingcount
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'firefox.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'NotiMan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'nHancer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTDetect.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDLL32.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFISPI.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'isuspm.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanel.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLLML.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTDVDDET.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'sp_rsser.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTsvcCDA.EXE' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '7' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1734' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\Dokumente und Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\25bc690f-46b9ace5
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.nbe.4207
--> zzz/ttt/a13d8.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.nbe.4207
--> zzz/ttt/a1500b0.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.aaq.8157
--> zzz/ttt/ad3740b4.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.aaq.8157
C:\Dokumente und Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\2bc8a3f7-147fad7a
[0] Archivtyp: ZIP
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.yio.3361
--> seopack.class
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.yio.3361
C:\Programme\Microsoft Games\Ground Environment\GroundEnv.exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted

Beginne mit der Desinfektion:
C:\Programme\Microsoft Games\Ground Environment\GroundEnv.exe
    [FUND]      Enthält verdächtigen Code: HEUR/Crypted
    [HINWEIS]  Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9d673b.qua' verschoben!
C:\Dokumente und Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\2bc8a3f7-147fad7a
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.yio.3361
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '570648ac.qua' verschoben!
C:\Dokumente und Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\25bc690f-46b9ace5
    [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.aaq.8157
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '055812b7.qua' verschoben!


Ende des Suchlaufs: Freitag, 16. Juli 2010  22:38
Benötigte Zeit:  2:23:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  11544 Verzeichnisse wurden überprüft
 571006 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      1 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 571001 Dateien ohne Befall
  3918 Archive wurden durchsucht
      0 Warnungen
      3 Hinweise
 623475 Objekte wurden beim Rootkitscan durchsucht
      3 Versteckte Objekte wurden gefunden



HiJackthis Logfile:

Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:50:57, on 16.07.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\nHancer\nHancer.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\NOS\bin\getPlusPlus_Adobe.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [nHancer] "C:\Programme\nHancer\nHancer.exe" /tray
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKCU\..\Run: [Spyware Begone] "C:\spywarebegone\SpywareBeGone.exe" -FastScan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1818/plugin/AXFOAM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183230766656
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Update Service (gupdate1c986dc4ea371d2) (gupdate1c986dc4ea371d2) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8037 bytes
--- --- ---


zugegeben, java habe ich länger nicht mehr geupdated, mein fehler. soll ich damit bis zur reinigung meines pcs warten?

grüße

markusg 17.07.2010 12:46
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte nun alles an laufenden programmen ab, auch dein antivirus programm, trenne auch die internetverbindung, in dem du das netzwerkabel ziehst, bzw wlan deaktivirst, starte nun einen komplett scan mit malwarebytes, funde am ende löschen, evtl. muss der pc neu gestartet werden, avira + internet ein,log posten.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide

victor 18.07.2010 00:31
vielen dank für deine antwort :)



Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4322

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

18.07.2010 00:44:56
mbam-log-2010-07-18 (00-44-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 328372
Laufzeit: 1 Stunde(n), 21 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{B8CF46B9-A3A6-4ECB-A0E8-E93E469790E6}\RP559\A0299784.exe (Malware.Packer.Morphine) -> Quarantined and deleted successfully.

markusg 18.07.2010 14:25
du hast einiges schon lang net mehr geupdatet. bitte poste das die tl log.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131