Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Aktivwerdung von Plagegeist verhindert? (https://www.trojaner-board.de/91180-aktivwerdung-plagegeist-verhindert.html)

michael79 26.09.2010 20:46

Aktivwerdung von Plagegeist verhindert?
 
Einen schönen guten Abend allerseits! :-)

Mir ist vorhin folgendes passiert: Beim Chat in Facebook tauchte plötzlich folgender Link auf: h**p://w*w.faceb**k.tiitacs.com/facebook_image.php?image=IMG002508902010.JPG
Normalerweise bin ich in solchen Fällen etwas skeptisch. Da sich der Chat aber um das Auto eines Freundes drehte, dachte ich, mein Freund wolle mir ein Foto des Autos senden. Also nahm ich die Datei in gutem Glauben an. Der Firefox-Download-Manager speicherte die Datei in C:/Downloads. Dort fand ich die Datei mit Namen IMG002508902010.JPG.scr vor, was mich ein wenig stutzig machte. Ich änderte den Dateinamen in IMG002508902010.JPG und öffnete die Datei über das Kontextmenü mittels "Vorschau" (=Windows Bild- und Faxanzeige). Es erschien die Meldung "Keine Vorschau verfügbar". Ich löschte die Datei.
Mittlerweile habe ich herausgefunden, dass es sich dabei um Schadsoftware handelt.

Meine Frage ist nun: Habe ich durch meine Verfahrensweise verhindert, dass der Plagegeist aktiv geworden ist? Bisher habe ich keine Veränderung an meinem System bemerkt. Luke Filewalker hat mir ebenso keine negative Meldung gebracht.

Ich hoffe und bitte, dass diese vermeintlich einfache Frage beantwortet wird, auch ohne dass ich mir die für dieses Forum eigentlich erforderliche Software herunterlade und installiere... :-)

Viele Grüße und danke schon im Voraus,
Michael :dankeschoen:

markusg 27.09.2010 10:53

HijackThis Logfileauswertung
downloade hijackthis, klicke scan and safe log und poste das hier.

michael79 27.09.2010 11:43

Hallo Markus,
danke für deine Antwort.
Hier die Logfile, die mir HijackThis geliefert hat:

HiJackthis Logfile:
Code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:23:46, on 27.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Verbindungsassistent\WTGService.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\PhonerLite\PhonerLite.exe
C:\Programme\Apoint\HidFind.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\conime.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Downloads\HiJackThis204.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\m***i\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\m***i\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: hxxp://*.update.microsoft.com
O16 - DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} (UploadListView Class) - hxxp://picasaweb.google.de/s/v/61.12/uploader2.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: WTGService - Unknown owner - C:\Programme\Verbindungsassistent\WTGService.exe

--
End of file - 6169 bytes

--- --- ---

markusg 27.09.2010 13:42

avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

michael79 27.09.2010 16:21

Okay. Habe jetzt AntiVir im abgesicherten Modus deinstalliert, neu installiert, ein Update der Virendefinitionsdatei gemacht und AntiVir laut Beschreibung konfiguriert.
Im Anschluss habe ich über "Lokaler Schutz" --> "Lokale Laufwerke" --> "Suchlauf starten" eine Überprüfung durchgeführt, die folgendes Ergebnis geliefert hat:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 27. September 2010 15:43

Es wird nach 2880372 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : m***i
Computername : K***03

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 2010/04/19 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 2010/04/01 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 2010/03/30 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 2010/03/07 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 2010/01/14 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 2009/11/06 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 2009/11/19 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 2010/01/20 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 2010/01/26 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 2010/03/05 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 2010/04/15 13:40:26
VBASE006.VDF : 7.10.7.218 2294784 Bytes 2010/06/02 13:40:28
VBASE007.VDF : 7.10.9.165 4840960 Bytes 2010/07/23 13:40:31
VBASE008.VDF : 7.10.11.133 3454464 Bytes 2010/09/13 13:40:33
VBASE009.VDF : 7.10.11.134 2048 Bytes 2010/09/13 13:40:33
VBASE010.VDF : 7.10.11.135 2048 Bytes 2010/09/13 13:40:33
VBASE011.VDF : 7.10.11.136 2048 Bytes 2010/09/13 13:40:33
VBASE012.VDF : 7.10.11.137 2048 Bytes 2010/09/13 13:40:33
VBASE013.VDF : 7.10.11.165 172032 Bytes 2010/09/15 13:40:33
VBASE014.VDF : 7.10.11.202 144384 Bytes 2010/09/18 13:40:34
VBASE015.VDF : 7.10.11.231 129024 Bytes 2010/09/21 13:40:34
VBASE016.VDF : 7.10.12.4 126464 Bytes 2010/09/23 13:40:34
VBASE017.VDF : 7.10.12.38 146944 Bytes 2010/09/27 13:40:34
VBASE018.VDF : 7.10.12.39 2048 Bytes 2010/09/27 13:40:34
VBASE019.VDF : 7.10.12.40 2048 Bytes 2010/09/27 13:40:34
VBASE020.VDF : 7.10.12.41 2048 Bytes 2010/09/27 13:40:34
VBASE021.VDF : 7.10.12.42 2048 Bytes 2010/09/27 13:40:34
VBASE022.VDF : 7.10.12.43 2048 Bytes 2010/09/27 13:40:34
VBASE023.VDF : 7.10.12.44 2048 Bytes 2010/09/27 13:40:34
VBASE024.VDF : 7.10.12.45 2048 Bytes 2010/09/27 13:40:34
VBASE025.VDF : 7.10.12.46 2048 Bytes 2010/09/27 13:40:34
VBASE026.VDF : 7.10.12.47 2048 Bytes 2010/09/27 13:40:34
VBASE027.VDF : 7.10.12.48 2048 Bytes 2010/09/27 13:40:34
VBASE028.VDF : 7.10.12.49 2048 Bytes 2010/09/27 13:40:34
VBASE029.VDF : 7.10.12.50 2048 Bytes 2010/09/27 13:40:34
VBASE030.VDF : 7.10.12.51 2048 Bytes 2010/09/27 13:40:35
VBASE031.VDF : 7.10.12.52 2048 Bytes 2010/09/27 13:40:35
Engineversion : 8.2.4.66
AEVDF.DLL : 8.1.2.1 106868 Bytes 2010/09/27 13:40:38
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 2010/09/27 13:40:37
AESCN.DLL : 8.1.6.1 127347 Bytes 2010/09/27 13:40:37
AESBX.DLL : 8.1.3.1 254324 Bytes 2010/09/27 13:40:38
AERDL.DLL : 8.1.9.2 635252 Bytes 2010/09/27 13:40:37
AEPACK.DLL : 8.2.3.7 471413 Bytes 2010/09/27 13:40:37
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 2010/09/27 13:40:37
AEHEUR.DLL : 8.1.2.27 2933110 Bytes 2010/09/27 13:40:36
AEHELP.DLL : 8.1.13.4 242038 Bytes 2010/09/27 13:40:35
AEGEN.DLL : 8.1.3.22 401780 Bytes 2010/09/27 13:40:35
AEEMU.DLL : 8.1.2.0 393588 Bytes 2010/09/27 13:40:35
AECORE.DLL : 8.1.17.0 196982 Bytes 2010/09/27 13:40:35
AEBB.DLL : 8.1.1.0 53618 Bytes 2010/09/27 13:40:35
AVWINLL.DLL : 10.0.0.0 19304 Bytes 2010/01/14 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 2010/01/14 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 2010/02/18 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 2010/04/01 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 2010/04/01 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 2010/04/01 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 2010/01/26 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 2010/01/28 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 2010/03/16 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 2010/02/19 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 2010/01/28 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 2010/04/09 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, N:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 27. September 2010 15:43

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\programme\gemeinsame dateien\microsoft shared\works shared\wkscal.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WksCal.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apntex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HidFind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhonerLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wkcalrem.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTGService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NICCONFIGSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bcmwltry.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'N:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '407' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\m***i\Anwendungsdaten\Thunderbird\Profiles\qh0lt0ev.default\Mail\pop3.arcor-1.de\Inbox
[0] Archivtyp: Netscape/Mozilla Mailbox
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Subject: Aktivieren Sie Ihr paypal Konto][From: Pay Pal <acctt@acpp.ws>][Message-ID: <20100519174152.B961FD4ED2@astonshell.com>]302.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
C:\Dokumente und Einstellungen\m***i\Anwendungsdaten\Thunderbird\Profiles\qh0lt0ev.default\Mail\pop3.arcor-1.de\Trash
[0] Archivtyp: Netscape/Mozilla Mailbox
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> Mailbox_[Subject: Aktivieren Sie Ihr paypal Konto][From: Pay Pal <acctt@acpp.ws>][Message-ID: <20100519174152.B961FD4ED2@astonshell.com>]242.mim
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
--> file0.html
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
[WARNUNG] Bei dieser Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht.
Beginne mit der Suche in 'N:\' <N>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\m***i\Anwendungsdaten\Thunderbird\Profiles\qh0lt0ev.default\Mail\pop3.arcor-1.de\Trash
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49e2107c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\m***i\Anwendungsdaten\Thunderbird\Profiles\qh0lt0ev.default\Mail\pop3.arcor-1.de\Inbox
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 51763fd2.qua erstellt ( QUARANTÄNE )


Ende des Suchlaufs: Montag, 27. September 2010 17:12
Benötigte Zeit: 1:17:45 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7559 Verzeichnisse wurden überprüft
415902 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
415898 Dateien ohne Befall
18038 Archive wurden durchsucht
2 Warnungen
2 Hinweise
50976 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

markusg 27.09.2010 16:31

öffne thunderbird, lösche alle unnötigen mails auch aus den spam ordnern, wähle dann ordner komprimieren
Ordner komprimieren ? Thunderbird Mail DE
download den atf cleaner:
ATF-Cleaner.exe - www.atribune.org
öffnen, hake alles an, auch unter dem tap firefox, klicke empty selected, nachfrage bestätigen.
rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, deaktivieren, übernehmen/ok
dann 5 min warten, wieder einschalten. führe erneut einen avira scan aus. log posten.

michael79 27.09.2010 18:31

Die unnötigen Mails in Thunderbird habe ich gelöscht und daraufhin alle Ordner komprimiert.

Den ATF-Cleaner hab ich ebenso benutzt.

Was ich jetzt aber irgendwie nicht machen möchte, ist, die Systemwiederherstellung zu deaktivieren. Muss das sein? Kann ich nicht auch so einen Avira-Scan durchführen?? :wtf:

markusg 27.09.2010 18:51

deine trojaner datei befindet sich evtl. da drinn, also je nach dem wohin du sie geladen hast. außerdem wird doch nach dem einschalten ein neuer punkt erstellt, dass reicht doch, falls du zurück setzen müsstest.

michael79 27.09.2010 18:55

Hm...

Seit ich den ATF-Cleaner benutzt habe, kann ich plötzlich weder auf meine Facebook-Nachrichten zugreifen, noch öffnet sich FarmVille...

markusg 27.09.2010 19:01

du musst dich neu einloggen

michael79 27.09.2010 19:23

Ich hab jetzt ganz neu gestartet.
Firefox liefert mir bei immer noch ein leeres Fenster, wenn ich auf "Nachrichten" klicke. Auch bei FarmVille tut sich weiterhin nix.
Jetzt hab ich den IE8 wieder rausgeholt und mit dem klappt's. Nur lustigerweise musste ich mich dort ja einloggen - mit Benutzernamen (E-Mail-Adresse) und Passwort --- UND: Es wurden mir drei mögliche E-Mail-Adressen vorgeschlagen (von dieser Auto-Insert-Funktion, oder wie das heißt) - dabei dachte ich, der ATF-Cleaner hätte alle Temporären Dateien, Cookies, etc. gelöscht...

markusg 27.09.2010 19:24

nutzt du noscript oder ähnliches? welche firefox version nutzt du?

michael79 27.09.2010 19:34

Firefox 3.6.10

Noscript? Nicht dass ich wüsste...

markusg 27.09.2010 19:42

das ist aber merkwürdig ich hab noch nie von so nem problem nach atf cleaner gehört, versuchs noch mal mit dem einloggen, ist da ne komplett leere seite. gibts evtl. ne fehlermeldung, sollte man im firefox fenster sehen

michael79 27.09.2010 19:52

Hab mich ausgeloggt und wieder eingeloggt.

Keine Fehlermeldung, keine komplett leere Seite. Links das übliche Menü, oben der vertraute blaue Rand...

markusg 27.09.2010 19:52

also gehts wieder oder wie?

michael79 27.09.2010 19:56

Nein. Der Rest bleibt weiß. Es werden keine Nachrichten angezeigt und FarmVille lädt auch nicht.

markusg 27.09.2010 19:59

naja so was hab ich noch nie gehört das das durch das löschen von empdateien passiert
Installation - FirefoxWiki
versuch mal ne saubere de- und neuinstalation des ff
ps vorher mal auf start programme firefox, im abgesicherten modus starten, geht es dann?

michael79 27.09.2010 20:05

Liste der Anhänge anzeigen (Anzahl: 1)
Wenn ich auf Google.de gehe, dann kommt da auch keine Google-Grafik.
Bei mir sieht das jetzt so aus (ohne die schwarzen Balken natürlich):

michael79 27.09.2010 20:08

Ach ja - und das Bild, das ich gerade hochgeladen habe, lädt auch nur, wenn ich den IE benutze. Im Firefox kommt nur dieser sich schon drehende Ring... :(

Der Abgesicherte Modus von Firefox hat keine Änderung gezeigt...

Ich probier die saubere Neuinstallation...

markusg 27.09.2010 20:19

unter extras, optionen, inhalte ist "grafiken laden" aber eingeschalten?

michael79 27.09.2010 20:51

Hmmm - ich hatte das zumindest nicht ausgeschaltet.

Jetzt hab ich Firefox neu installiert und es geht wieder alles...

markusg 28.09.2010 10:04

wie gesagt, ist das merkwürdig da noch nie vorher passiert :d
ok sonst läuft aber alles?

michael79 28.09.2010 10:36

Jetzt läuft alles. :-)
Irgendwie fehlt mir jetzt aber die Lust, noch mehr Eingriffe an meinem Rechner vorzunehmen... :-/

Nochmal zu meiner Ausgangsfrage zurück:
Ist es überhaupt möglich, dass ich den Schädling dadurch aktiviert habe, indem ich die böse Datei von *.JPG.scr in *.JPG umbenannt und mit der Windows Bild- und Faxanzeige geöffnet habe oder hätte das einen anderen Prozess erfordert? Oder kann man die Frage nicht beantworten?

markusg 28.09.2010 10:45

ich wollte es sicherheitshalber nachprüfen, scheint aber nicht geklappt zu haben.
aber sowieso, warum bist du denn bei dem link nicht stutzig geworden? das ist doch kein bekannter bilder hoster :d

michael79 28.09.2010 11:14

Ja, du hast natürlich Recht. Das war sehr fahrlässig...
Es hat aber super in den Chat-Zusammenhang gepasst. Mein Bekannter hatte an dem Tag einen Auffahrunfall mit dem Auto und in dem Zusammenhang dachte ich, er wolle mir ein Bild von dem Schaden zeigen.
Naja und dann war ich noch so blauäugig und hab nicht gleich kapiert, dass solche bösen Links auch innerhalb des Facebook-Chats verschickt werden.
Ist schon eine schlimme Zeit - man muss ja echt mit allem rechnen... ;o)

Naja, danke jedenfalls für deine Bemühungen!

markusg 28.09.2010 11:16

ja rechnen muss man mit allem :d


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131