|
Avira meldet Befall mit TR/Dldr.Carberp.C.51 und Java/Agent.HT.2 bzw. Java/Agent.ID.2 Hallo zusammen! Habe im Internet recherchiert, aber der Trojaner TR/Dldr.Carberp.C.51 ist nirgends beschrieben oder behandelt. Avira selbst listet den als Befund auf, hat aber (noch) keine weiteren Infos dazu, daher mein (neuer) Login hier bei trojaner-board. Der Rechner läuft nach wie vor ohne erkennbare Einschränkung, aber ich traue dem Frieden nicht so recht, da der zweite Befund nicht lange auf sich warten ließ. Aber am besten der Reihe nach. Chronologie der Meldungen und der eingeleiteten Maßnahmen: 15.11. 18:47 Avira Antivir Personal meldet Befund mit TR/Dldr.Carberp.C.51 (Verschiebung in Quarantäne) 23:22 Komplettscan mit Avira, liefert keinen Befund 16.11. 03:04 Avira Antivir Personal meldet erneut Befund mit TR/Dldr.Carberp.C.51 (Verschiebung in Quarantäne) 17:21 Scan mit Avira im abgesicherten Modus liefert die Befunde Java/Agent.HT.2 und Java/Agent.ID.2 (Verschiebung in Quarantäne) 17.11. Scan mit aktuell erstellter Avira Rescue-CD liefert keinen Virenbefund, aber 382 Meldungen zu encrypted files, die keinen Zugriff erlauben (Report liegt nicht vor, da ich nicht wusste, wie ich in dem Modus eine Kopie abspeichern kann) 18.11. Scans nach Anleitung mit OTL und Malwarebytes Anti-Malware Sämtliche Reports habe ich im Anhang in der chronologischen Reihenfolge aufgelistet. Egal, ob mir geholfen werden kann oder nicht: Ich finde dieses Forum sehr erstaunlich. Die Anzahl der Beiträge und die vielen Hilfestellungen der "Eingeweihten" deuten einen sehr regen Austausch an. Bin halt neu, da die Rechner meist stabil liefen und Hilfestellungen nicht notwendig waren, aber jetzt komme ich nicht weiter und es stellt sich mir die Frage, ob das System neu aufgesetzt werden muss oder ob das "Gute" dem "Bösen" eine Nasenlänge voraus ist und Rettung möglich ist. Dank vorab für Antworten (mit welcher Prognose auch immer) !! Werd jetzt erst mal ein spätes Feierabendbier aufs Forum erheben.:crazy: und dann von virenfreien Rechnern träumen. Schöne Grüße Louis ********************************************************************************************************************** Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 15. November 2010 18:47 Es wird nach 3049492 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : PC2009 Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 15:00:19 AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.04.2010 14:50:23 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:58:50 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:53:38 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 12:46:44 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:52:31 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 15:57:04 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:28:31 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 13:06:59 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 10:05:35 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 15:37:35 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 15:00:19 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 15:00:19 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 15:00:19 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 15:00:19 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 15:00:19 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:25:03 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 17:32:16 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 17:32:21 VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 14:47:59 VBASE018.VDF : 7.10.13.244 2048 Bytes 15.11.2010 14:47:59 VBASE019.VDF : 7.10.13.245 2048 Bytes 15.11.2010 14:47:59 VBASE020.VDF : 7.10.13.246 2048 Bytes 15.11.2010 14:47:59 VBASE021.VDF : 7.10.13.247 2048 Bytes 15.11.2010 14:47:59 VBASE022.VDF : 7.10.13.248 2048 Bytes 15.11.2010 14:47:59 VBASE023.VDF : 7.10.13.249 2048 Bytes 15.11.2010 14:48:00 VBASE024.VDF : 7.10.13.250 2048 Bytes 15.11.2010 14:48:00 VBASE025.VDF : 7.10.13.251 2048 Bytes 15.11.2010 14:48:00 VBASE026.VDF : 7.10.13.252 2048 Bytes 15.11.2010 14:48:00 VBASE027.VDF : 7.10.13.253 2048 Bytes 15.11.2010 14:48:00 VBASE028.VDF : 7.10.13.254 2048 Bytes 15.11.2010 14:48:00 VBASE029.VDF : 7.10.13.255 2048 Bytes 15.11.2010 14:48:00 VBASE030.VDF : 7.10.14.0 2048 Bytes 15.11.2010 14:48:00 VBASE031.VDF : 7.10.14.1 2048 Bytes 15.11.2010 14:48:01 Engineversion : 8.2.4.98 AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 04:45:47 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 15:00:19 AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 13:58:46 AESBX.DLL : 8.1.3.1 254324 Bytes 27.04.2010 10:03:12 AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 16:32:34 AEPACK.DLL : 8.2.3.11 471416 Bytes 13.10.2010 07:46:21 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 28.07.2010 10:06:07 AEHEUR.DLL : 8.1.2.41 3043703 Bytes 13.11.2010 17:33:11 AEHELP.DLL : 8.1.14.0 246134 Bytes 13.10.2010 07:45:48 AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 15:00:19 AEEMU.DLL : 8.1.2.0 393588 Bytes 27.04.2010 10:03:06 AECORE.DLL : 8.1.17.0 196982 Bytes 28.09.2010 16:32:05 AEBB.DLL : 8.1.1.0 53618 Bytes 27.04.2010 10:03:05 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 15:00:19 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 15:00:19 AVARKT.DLL : 10.0.0.14 227176 Bytes 21.04.2010 14:50:23 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 15:00:19 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_e898a7be\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+SPR, Beginn des Suchlaufs: Montag, 15. November 2010 18:47 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpOFXM07.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpOSTS07.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpoevm07.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpoavn07.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rfx-tray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'umonit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pdfpro5hook.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StarMoneyOnlineUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rfx-server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDFProFiltSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NetworkLicenseServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SCardSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\chkntfs.exe' C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\chkntfs.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Carberp.C.51 [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> wurde erfolgreich entfernt. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f1dd3ec.qua' verschoben! Ende des Suchlaufs: Montag, 15. November 2010 18:47 Benötigte Zeit: 00:11 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 44 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 43 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. ********************************************************************************************************************** Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 15. November 2010 22:08 Es wird nach 3049492 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : *** Computername : PC2009 Versionsinformationen: BUILD.DAT : 10.0.0.592 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 15:00:19 AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.04.2010 14:50:23 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:58:50 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:53:38 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 12:46:44 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:52:31 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 15:57:04 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:28:31 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 13:06:59 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 10:05:35 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 15:37:35 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 15:00:19 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 15:00:19 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 15:00:19 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 15:00:19 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 15:00:19 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:25:03 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 17:32:16 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 17:32:21 VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 14:47:59 VBASE018.VDF : 7.10.13.244 2048 Bytes 15.11.2010 14:47:59 VBASE019.VDF : 7.10.13.245 2048 Bytes 15.11.2010 14:47:59 VBASE020.VDF : 7.10.13.246 2048 Bytes 15.11.2010 14:47:59 VBASE021.VDF : 7.10.13.247 2048 Bytes 15.11.2010 14:47:59 VBASE022.VDF : 7.10.13.248 2048 Bytes 15.11.2010 14:47:59 VBASE023.VDF : 7.10.13.249 2048 Bytes 15.11.2010 14:48:00 VBASE024.VDF : 7.10.13.250 2048 Bytes 15.11.2010 14:48:00 VBASE025.VDF : 7.10.13.251 2048 Bytes 15.11.2010 14:48:00 VBASE026.VDF : 7.10.13.252 2048 Bytes 15.11.2010 14:48:00 VBASE027.VDF : 7.10.13.253 2048 Bytes 15.11.2010 14:48:00 VBASE028.VDF : 7.10.13.254 2048 Bytes 15.11.2010 14:48:00 VBASE029.VDF : 7.10.13.255 2048 Bytes 15.11.2010 14:48:00 VBASE030.VDF : 7.10.14.0 2048 Bytes 15.11.2010 14:48:00 VBASE031.VDF : 7.10.14.1 2048 Bytes 15.11.2010 14:48:01 Engineversion : 8.2.4.98 AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 04:45:47 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 15:00:19 AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 13:58:46 AESBX.DLL : 8.1.3.1 254324 Bytes 27.04.2010 10:03:12 AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 16:32:34 AEPACK.DLL : 8.2.3.11 471416 Bytes 13.10.2010 07:46:21 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 28.07.2010 10:06:07 AEHEUR.DLL : 8.1.2.41 3043703 Bytes 13.11.2010 17:33:11 AEHELP.DLL : 8.1.14.0 246134 Bytes 13.10.2010 07:45:48 AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 15:00:19 AEEMU.DLL : 8.1.2.0 393588 Bytes 27.04.2010 10:03:06 AECORE.DLL : 8.1.17.0 196982 Bytes 28.09.2010 16:32:05 AEBB.DLL : 8.1.1.0 53618 Bytes 27.04.2010 10:03:05 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 15:00:19 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 15:00:19 AVARKT.DLL : 10.0.0.14 227176 Bytes 21.04.2010 14:50:23 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 15:00:19 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Festplatten Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldiscs.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+SPR, Beginn des Suchlaufs: Montag, 15. November 2010 22:08 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpOFXM07.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpOSTS07.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpoevm07.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpoavn07.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rfx-tray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'umonit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pdfpro5hook.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StarMoneyOnlineUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rfx-server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDFProFiltSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SupServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NetworkLicenseServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SCardSvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '312' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' Ende des Suchlaufs: Montag, 15. November 2010 23:22 Benötigte Zeit: 1:13:47 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 12643 Verzeichnisse wurden überprüft 440867 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 440867 Dateien ohne Befall 5492 Archive wurden durchsucht 0 Warnungen 0 Hinweise ********************************************************************************************************************** Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 17. November 2010 15:59 Es wird nach 3061539 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Abgesicherter Modus Benutzername : Administrator Computername : PC2009 Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 15:00:19 AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.04.2010 14:50:23 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:58:50 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:53:38 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 12:46:44 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:52:31 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 15:57:04 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:28:31 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 13:06:59 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 10:05:35 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 15:37:35 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 15:00:19 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 15:00:19 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 15:00:19 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 15:00:19 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 15:00:19 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 16:25:03 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 17:32:16 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 17:32:21 VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 14:47:59 VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 14:54:52 VBASE019.VDF : 7.10.14.16 2048 Bytes 17.11.2010 14:54:52 VBASE020.VDF : 7.10.14.17 2048 Bytes 17.11.2010 14:54:52 VBASE021.VDF : 7.10.14.18 2048 Bytes 17.11.2010 14:54:52 VBASE022.VDF : 7.10.14.19 2048 Bytes 17.11.2010 14:54:53 VBASE023.VDF : 7.10.14.20 2048 Bytes 17.11.2010 14:54:53 VBASE024.VDF : 7.10.14.21 2048 Bytes 17.11.2010 14:54:53 VBASE025.VDF : 7.10.14.22 2048 Bytes 17.11.2010 14:54:53 VBASE026.VDF : 7.10.14.23 2048 Bytes 17.11.2010 14:54:53 VBASE027.VDF : 7.10.14.24 2048 Bytes 17.11.2010 14:54:53 VBASE028.VDF : 7.10.14.25 2048 Bytes 17.11.2010 14:54:54 VBASE029.VDF : 7.10.14.26 2048 Bytes 17.11.2010 14:54:54 VBASE030.VDF : 7.10.14.27 2048 Bytes 17.11.2010 14:54:54 VBASE031.VDF : 7.10.14.31 36352 Bytes 17.11.2010 14:54:55 Engineversion : 8.2.4.98 AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 04:45:47 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 15:00:19 AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 13:58:46 AESBX.DLL : 8.1.3.1 254324 Bytes 27.04.2010 10:03:12 AERDL.DLL : 8.1.9.2 635252 Bytes 28.09.2010 16:32:34 AEPACK.DLL : 8.2.3.11 471416 Bytes 13.10.2010 07:46:21 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 28.07.2010 10:06:07 AEHEUR.DLL : 8.1.2.41 3043703 Bytes 13.11.2010 17:33:11 AEHELP.DLL : 8.1.14.0 246134 Bytes 13.10.2010 07:45:48 AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 15:00:19 AEEMU.DLL : 8.1.2.0 393588 Bytes 27.04.2010 10:03:06 AECORE.DLL : 8.1.17.0 196982 Bytes 28.09.2010 16:32:05 AEBB.DLL : 8.1.1.0 53618 Bytes 27.04.2010 10:03:05 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 15:00:19 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 15:00:19 AVARKT.DLL : 10.0.0.14 227176 Bytes 21.04.2010 14:50:23 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 15:00:19 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Festplatten Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldiscs.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+SPR, Beginn des Suchlaufs: Mittwoch, 17. November 2010 15:59 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '439' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jar_cache6349893252500435722.tmp [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HT.2 --> applet.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HT.2 --> tools.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.ID.2 Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jar_cache6349893252500435722.tmp [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.ID.2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e78a5fb.qua' verschoben! Ende des Suchlaufs: Mittwoch, 17. November 2010 17:21 Benötigte Zeit: 59:09 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 14321 Verzeichnisse wurden überprüft 481318 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 481316 Dateien ohne Befall 5844 Archive wurden durchsucht 0 Warnungen 1 Hinweise ********************************************************************************************************************** Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5146 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.11.2010 22:02:19 mbam-log-2010-11-18 (22-02-19).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|J:\|) Durchsuchte Objekte: 349696 Laufzeit: 1 Stunde(n), 43 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) **********************************************************************************************************************OTL Logfile: Code: OTL logfile created on: 18.11.2010 22:29:22 - Run 1**********************************************************************************************************************OTL Logfile: Code: OTL Extras logfile created on: 18.11.2010 22:29:22 - Run 1********************************************************************************************************************** |
Hallo und :hallo: Gibt es Logs von älteren Scans mit Malwarebytes? Wenn ja bitte posten falls da Funde bei waren. Ich frag immer sowas nach, wenn ein Vollscan-Log von MBAM keine Funde anzeigt, da hab ich immer das Gefühl, dass nur das letzte Log ohne Funde gepostet wurde ;) |
Hallo Arne, erstmal Danke für deine Nachfrage. Nein, es gibt keine älteren Scans. Habe die Werkzeuge erst gestern im Rahmen der Anleitung aufgespielt. Grüß Jürgen |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hallo, hatte zunächst OTL ohne Admin-Rechte gestartet, was zu einer Fehlermeldung führte (Cannot create ***.file). Hier das Logfile vom 2. OTL-Start: All processes killed ========== OTL ========== ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8CE646EE deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 37031843 bytes ->Temporary Internet Files folder emptied: 85972957 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 35338625 bytes ->Opera cache emptied: 2569711 bytes ->Flash cache emptied: 1239 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: *** ->Temp folder emptied: 282927873 bytes ->Temporary Internet Files folder emptied: 213525699 bytes ->Java cache emptied: 640496 bytes ->FireFox cache emptied: 94492407 bytes ->Flash cache emptied: 5334 bytes User: *** ->Temp folder emptied: 703082 bytes ->Temporary Internet Files folder emptied: 1038857 bytes ->Flash cache emptied: 405 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 36146219 bytes User: Medien User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: zweiter ->Temp folder emptied: 10278412 bytes ->Temporary Internet Files folder emptied: 2492970 bytes ->FireFox cache emptied: 37329758 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2129337 bytes %systemroot%\System32 .tmp files removed: 626688 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 10089971 bytes RecycleBin emptied: 2762107824 bytes Total Files Cleaned = 3.448,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 11202010_173914 ********************************************************************************************************************** Gruß Louis |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne, lief alles wie geplant. Beim Schließen des CF erschien allerdings die Meldung, dass das Online-Update-Programm von StarMoney nicht ausführbar ist. Die Bestätigung der Meldung ließ kurz einen Warnhinweis auftauchen mit dem Inhalt "Zugriff auf 00000... (o.ä.) unzulässig", darauf kurz bluescreen, dann DOS-Meldung, dass Windows heruntergefahren wird, um Schäden zu verhindern. Habe daraufhin zweimal neu gestartet, jeweils ohne erkennbare Probleme. Schönen Gruß Louis Hier die Log-Datei von CF: Combofix Logfile: Code: ComboFix 10-11-20.06 - Administrator 21.11.2010 12:57:30.1.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne, Scans liefen reibungslos. Gruß Louis Hier die Loddateien: GMER Logfile: Code: GMER 1.0.15.15530 - hxxp://www.gmer.net****************************************************************************************************************************************************** *************************** OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru ****************************************************************************************************************************************************** *************************** MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000001fd Kernel Drivers (total 130): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xBA5A8000 \WINDOWS\system32\KDCOM.DLL 0xBA4B8000 \WINDOWS\system32\BOOTVID.dll 0xB9F78000 ACPI.sys 0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xB9F67000 pci.sys 0xBA0A8000 isapnp.sys 0xBA670000 pciide.sys 0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xBA0B8000 MountMgr.sys 0xB9F48000 ftdisk.sys 0xBA5AC000 dmload.sys 0xB9F22000 dmio.sys 0xBA330000 PartMgr.sys 0xBA0C8000 VolSnap.sys 0xB9F0A000 atapi.sys 0xB9EE6000 nvgts.sys 0xB9ECE000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS 0xBA0D8000 disk.sys 0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xB9EAE000 fltmgr.sys 0xB9E9C000 sr.sys 0xB9E85000 KSecDD.sys 0xB9DF8000 Ntfs.sys 0xB9DCB000 NDIS.sys 0xB9DB1000 Mup.sys 0xB9D6D000 \SystemRoot\system32\DRIVERS\tunmp.sys 0xBA1D8000 \SystemRoot\system32\DRIVERS\processr.sys 0xBA460000 \SystemRoot\system32\DRIVERS\fdc.sys 0xBA1E8000 \SystemRoot\system32\DRIVERS\serial.sys 0xB9D69000 \SystemRoot\system32\DRIVERS\serenum.sys 0xBA1F8000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xBA468000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xBA470000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xBA478000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xB96E9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xBA480000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB96C1000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xBA208000 \SystemRoot\system32\DRIVERS\imapi.sys 0xB9685000 \??\C:\WINDOWS\system32\drivers\acehlp10.sys 0xBA218000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xBA228000 \SystemRoot\system32\DRIVERS\redbook.sys 0xB9662000 \SystemRoot\system32\DRIVERS\ks.sys 0xBA238000 \SystemRoot\system32\DRIVERS\nvnetbus.sys 0xB9579000 \SystemRoot\system32\DRIVERS\NVNRM.SYS 0xB8F38000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xB8F24000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xB8F0B000 \SystemRoot\system32\DRIVERS\avmaudio.sys 0xBA488000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB8ECA000 \SystemRoot\system32\DRIVERS\avmaura.sys 0xBA248000 \SystemRoot\System32\Drivers\tosrfcom.sys 0xBA6BA000 \SystemRoot\system32\DRIVERS\audstub.sys 0xBA258000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xBA564000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB8EB3000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xBA268000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xBA278000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xB8EA2000 \SystemRoot\system32\DRIVERS\psched.sys 0xBA288000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xBA490000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xBA498000 \SystemRoot\system32\DRIVERS\raspti.sys 0xB8E72000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xBA298000 \SystemRoot\system32\DRIVERS\termdd.sys 0xBA4A0000 \SystemRoot\system32\DRIVERS\seehcri.sys 0xBA5DC000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB8DEC000 \SystemRoot\system32\DRIVERS\update.sys 0xBA57C000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xB975D000 \SystemRoot\system32\DRIVERS\tosporte.sys 0xB62CC000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xBA3E8000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xB629C000 \SystemRoot\system32\DRIVERS\NVENETFD.sys 0xB4588000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xBA60C000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xB2720000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xB26FC000 \SystemRoot\system32\drivers\portcls.sys 0xB4538000 \SystemRoot\system32\drivers\drmk.sys 0xBA61A000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xBA684000 \SystemRoot\System32\Drivers\Null.SYS 0xBA61C000 \SystemRoot\System32\Drivers\Beep.SYS 0xBA380000 \SystemRoot\System32\drivers\vga.sys 0xBA61E000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xBA620000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xBA388000 \SystemRoot\System32\Drivers\Msfs.SYS 0xBA398000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB4DCB000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xAE292000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xAE239000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xAE1E9000 \SystemRoot\system32\DRIVERS\netbt.sys 0xAE1C3000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xAE18B000 \SystemRoot\system32\DRIVERS\tcpip6.sys 0xAE169000 \SystemRoot\System32\drivers\afd.sys 0xBA198000 \SystemRoot\system32\drivers\ip6fw.sys 0xB976D000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xBA1A8000 \SystemRoot\system32\DRIVERS\netbios.sys 0xBA3A0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xAE13E000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xAE0CE000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xB979D000 \SystemRoot\System32\Drivers\Fips.SYS 0xB463B000 \SystemRoot\system32\DRIVERS\Kobil_B1.sys 0xB9D71000 \SystemRoot\system32\DRIVERS\SMCLIB.SYS 0xAA568000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xBA660000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xB38EC000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA6F54000 \SystemRoot\system32\drivers\fixustor.sys 0xA6072000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xA66D0000 \SystemRoot\System32\Drivers\dump_diskdump.sys 0xA5EA1000 \SystemRoot\System32\Drivers\dump_nvgts.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xA66B8000 \SystemRoot\System32\drivers\Dxapi.sys 0xA6052000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xBA6BD000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xA54F3000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA54DD000 \SystemRoot\system32\DRIVERS\nwlnkipx.sys 0xB4A91000 \SystemRoot\system32\DRIVERS\nwlnknb.sys 0xA84A7000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA5460000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xB4FF2000 \??\C:\WINDOWS\system32\drivers\Haspnt.sys 0xA53E2000 \??\C:\WINDOWS\system32\drivers\acedrv10.sys 0xA529C000 \??\C:\WINDOWS\system32\drivers\hardlock.sys 0xA5250000 \SystemRoot\System32\Drivers\Fastfat.SYS 0xA51D0000 \SystemRoot\system32\DRIVERS\srv.sys 0xAA59B000 \SystemRoot\system32\DRIVERS\nwlnkspx.sys 0xA4F8B000 \SystemRoot\system32\drivers\wdmaud.sys 0xB970D000 \SystemRoot\system32\drivers\sysaudio.sys 0xA3C2A000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 42): 0 System Idle Process 4 System 796 C:\WINDOWS\system32\smss.exe 868 csrss.exe 892 C:\WINDOWS\system32\winlogon.exe 936 C:\WINDOWS\system32\services.exe 948 C:\WINDOWS\system32\lsass.exe 1144 C:\WINDOWS\system32\svchost.exe 1192 svchost.exe 1284 C:\WINDOWS\system32\svchost.exe 1468 svchost.exe 1504 svchost.exe 1680 C:\WINDOWS\system32\spoolsv.exe 1740 scardsvr.exe 1764 C:\Programme\Avira\AntiVir Desktop\sched.exe 1844 svchost.exe 524 C:\Programme\ABBYY PDF Transformer 3.0\NetworkLicenseServer.exe 588 C:\Programme\Avira\AntiVir Desktop\avguard.exe 604 C:\Programme\FRITZ!DSL\IGDCTRL.EXE 1092 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1240 C:\Programme\Java\jre6\bin\jqs.exe 1328 C:\Programme\CDBurnerXP\NMSAccessU.exe 1376 C:\WINDOWS\system32\nvsvc32.exe 1448 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe 1516 C:\Programme\Nuance\PDF Professional 5\PDFProFiltSrv.exe 1776 C:\Programme\Tobit Radio.fx\Server\rfx-server.exe 2028 C:\WINDOWS\system32\tcpsvcs.exe 164 C:\WINDOWS\system32\snmp.exe 2252 C:\WINDOWS\explorer.exe 2416 C:\WINDOWS\system32\rundll32.exe 2428 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2436 C:\Programme\Nuance\PDF Professional 5\PdfPro5Hook.exe 2444 C:\WINDOWS\system32\umonit.exe 2452 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe 2512 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 2760 C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe 3008 C:\WINDOWS\system32\svchost.exe 3316 C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe 3656 C:\Programme\Hewlett-Packard\AiO\Shared\Bin\hposts07.exe 3708 C:\Programme\Hewlett-Packard\AiO\Shared\Bin\hpofxm07.exe 3944 alg.exe 3436 I:\Antispyware-Programme\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: ExcelStorTechnologyJ9250S, Rev: GM2OA52A Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo Arne, habe beide Vollscans ausgeführt. SuperAntiSpyware meldet 1 Befund (Trojan.Agent/Gen-FakeAV) :daumenrunter:; er befindet sich in Quarantäne. Schönen Gruß Louis Hier die Logs: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5170 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 22.11.2010 19:06:14 mbam-log-2010-11-22 (19-06-14).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|) Durchsuchte Objekte: 331224 Laufzeit: 1 Stunde(n), 46 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ****************************************************************************************************************************************************** ************************ SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 11/22/2010 at 10:41 PM Application Version : 4.45.1000 Core Rules Database Version : 5900 Trace Rules Database Version: 3712 Scan type : Complete Scan Total Scan Time : 01:37:31 Memory items scanned : 550 Memory threats detected : 0 Registry items scanned : 7815 Registry threats detected : 0 File items scanned : 158347 File threats detected : 1 Trojan.Agent/Gen-FakeAV C:\PROGRAMME\WINRAR\DEFAULT.SFX |
Das ist ein Fehlalarm. Solltest du Probleme mit WinRAR haben einfach WinRAR neu installieren. Ansonsten noch Probleme oder weitere Funde? |
Hallo Arne, nein, es gibt keine weiteren Funde. Störungen gibts bei der Anmeldung zu StarMoney: da fehlt ein Profilverzeichnis, ohne das kein Update-Dienst startet. Aus irgendeinem Grund verweigert auch ein email-Konto den Abruf; werd ich klären. Hab mir natürlich Gedanken gemacht, wodurch der Befall des Systems möglich war. Ich war da nachlässig mit einigen Updates (Java RE, Adobe Acrobat Reader, ...). Ist die Installation der Update-Programme "File Hippo" und/oder "Secunia PSI" sinnvoll? Sind weitere Maßnahmen notwendig? Schönen Gruß Louis |
Zitat:
Zitat:
Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo Arne, die Schlacht ist geschlagen, dank deiner Hilfe mit Erfolg! :abklatsch: Das System läuft wieder, und das ohne Befunde. Ganz heißen Dank für deine Hilfe!!!!!!!! Lass mich wissen, wie ich mich revanchieren kann! Schönen Gruß Louis |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board