|
Avira AntiVir findet Pdfka.V Hallo, die Systemprüfung mit Avira AntiVir hat diese Woche einen Fund gemeldet: C:\Users\***\AppData\Local\Temp\plugtmp-9\plugin-Notes1.pdf [FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.V (komplettes Protokoll der Systemprüfung ist unten in den Text kopiert). Die Datei wurde in Quarantäne geschoben. Ist das Problem damit erledigt? Und was kann ich sonst tun, um den Virus loszuwerden? Eine erneute Systemprüfung heute ergab nichts. Unsicher bin ich vor allem deshalb, weil meine Freundin (wir tauschen regelmäßig Emails und Dateien aus) z.Zt. einen üblen Virus auf ihrem Rechner hat, der z.B. selbsttätig Fenster öffnet. Heute öffnete sich bei mir - ohne mein bewußtes Zutun - das Windows Media Center. Kann es sein, dass der in Quarantäne verschobene Virus noch aktiv ist bzw. ein weiterer Virus auf meinem Rechner ist, aber nicht von der Systemprüfung erkannt wird? Die Logfiles sind mit angehängt. Vielen Dank schonmal für die Unterstützung!! HINWEIS: Meine System-Uhr ist defekt. Die Zeiten in den Logfiles stimmen deshalb nicht. Das Protokoll des Scans von Avira AntiVir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 27. Oktober 2010 15:52 Es wird nach 2979531 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (plain) [6.0.6000] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : EMIL Versionsinformationen: BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:00:17 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 21:33:18 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 21:33:31 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 18:36:04 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 19:58:50 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:21:06 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 19:25:25 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 18:43:52 VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 18:43:52 VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 18:43:52 VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 18:43:52 VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 18:43:52 VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 18:32:18 VBASE014.VDF : 7.10.11.202 144384 begin_of_the_skype_highlighting**************02 144384******end_of_the_skype_highlighting Bytes 18.09.2010 19:36:50 VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 19:36:51 VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 19:36:51 VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 11:48:00 VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 21:20:06 VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 18:21:53 VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 08:06:35 VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 08:06:35 VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 22:15:53 VBASE023.VDF : 7.10.12.198 131584 Bytes 13.10.2010 18:51:34 VBASE024.VDF : 7.10.12.216 133120 Bytes 14.10.2010 20:52:04 VBASE025.VDF : 7.10.12.238 137728 Bytes 18.10.2010 20:52:05 VBASE026.VDF : 7.10.12.254 129536 Bytes 20.10.2010 20:59:26 VBASE027.VDF : 7.10.13.22 137728 Bytes 22.10.2010 20:59:27 VBASE028.VDF : 7.10.13.39 124416 Bytes 26.10.2010 18:43:55 VBASE029.VDF : 7.10.13.40 2048 Bytes 26.10.2010 18:43:55 VBASE030.VDF : 7.10.13.41 2048 Bytes 26.10.2010 18:43:56 VBASE031.VDF : 7.10.13.59 123392 Bytes 27.10.2010 12:03:01 Engineversion : 8.2.4.84 AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 11:07:20 AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 23.09.2010 19:36:58 AESCN.DLL : 8.1.6.1 127347 Bytes 16.05.2010 15:29:55 AESBX.DLL : 8.1.3.1 254324 Bytes 26.04.2010 22:24:03 AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 19:36:57 AEPACK.DLL : 8.2.3.11 471416 Bytes 11.10.2010 22:15:57 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 20.07.2010 22:36:18 AEHEUR.DLL : 8.1.2.36 2974072 Bytes 21.10.2010 20:59:31 AEHELP.DLL : 8.1.14.0 246134 Bytes 11.10.2010 22:15:55 AEGEN.DLL : 8.1.3.23 401779 Bytes 01.10.2010 18:21:54 AEEMU.DLL : 8.1.2.0 393588 Bytes 26.04.2010 22:24:02 AECORE.DLL : 8.1.17.0 196982 Bytes 26.09.2010 11:48:01 AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 22:24:01 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59 AVREP.DLL : 8.0.0.7 159784 Bytes 24.02.2010 19:37:37 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Mittwoch, 27. Oktober 2010 15:52 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '104408' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LaunchAp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WisLMSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ODSBCApp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WButton.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HotkeyApp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '51' Prozesse mit '51' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '41' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Users\***\AppData\Local\Temp\plugtmp-9\plugin-Notes1.pdf [FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.V Beginne mit der Suche in 'D:\' <RECOVER> Beginne mit der Desinfektion: C:\Users\***\AppData\Local\Temp\plugtmp-9\plugin-Notes1.pdf [FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.V [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d3d36db.qua' verschoben! Ende des Suchlaufs: Mittwoch, 27. Oktober 2010 16:25 Benötigte Zeit: 16:14 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 21709 Verzeichnisse wurden überprüft 424752 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 424749 Dateien ohne Befall 3780 Archive wurden durchsucht 2 Warnungen 3 Hinweise 104408 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! |
Ok. Hier das Ergebnis des Vollscans von malwarebytes. Heißt das, mein System ist wieder sauber? Grüsse, pdfka Code: Malwarebytes' Anti-Malware 1.46 |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hier das Logfile von OTL: Code: All processes killed |
Zitat:
Bitte mal CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Die automatischen Updates von Vista werden regelmäßig durchgeführt. Und ich nutze Firefox, deshalb achte ich nicht auf Updates beim IE. Was ist mit "anderen Hintergrundwächtern" gemeint? Auch die Firewall? Wie finde ich heraus, ob noch etwas läuft? Danke und Gruß, pdfka |
Et voila... die Log-Datei von ComboFix: [CODE] Combofix Logfile: Code: ComboFix 10-10-31.04 - *** 01.11.2010 21:59:47.1.2 - x86 |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Driver::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
CCleaner musste diesmal nicht vorher ausgeführt werden, oder? Jedenfalls habe ich das jetzt nicht gemacht. Nach dem Neustart wurde Avira AntiVir automatisch gestartet. Hier das LogFile von ComboFix, diesmal gestartet mit CFScript.txt: Combofix Logfile: Code: ComboFix 10-10-31.04 - *** 01.11.2010 22:57:44.2.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Gut. Hier sind schon mal die ersten beiden Log-Files. Der Rest folgt gleich. Log-File von Gmer: GMER Logfile: Code: GMER 1.0.15.15477 - h**p://w*w.gmer.netLog-File von OSAM: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit h**p://forum.online-solutions.ru |
Und hier noch das Log-File von MBRCheck: Code: MBRCheck, version 1.2.3pdfka |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Das hört sich doch ganz gut an. Der SuperAntiSpyware hat allerdings was gefunden... Bin gespannt, ob du das als harmlos einstufst! Log von Malwarebytes: Code: Malwarebytes' Anti-Malware 1.46Code: SUPERAntiSpyware Scan Log |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board