TR/ATRAPS.Gen

17Antworten
  1. #1
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard TR/ATRAPS.Gen

    Hi,

    Frohes Neues (darf man noch wünschen, ne?)!!
    Obig genannten Trojaner habe ich mir heute eingefangen. Als der PC dann zu langsam war (was aber auch an Suchfunktionen und gleichzeitigen Scans gelegen haben kann, 512er RAM, was soll ich sagen? :P ), musste ich ihn neu starten, hab' dann das Teil in die AntiVir-Quarantäne verschoben und poste jetzt mal mein Logfile, damit man mir bitte sagt, dass alles wieder ok ist.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:29:49, on 07.01.2012
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\NCLAUNCH.EXe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\UAService7.exe
    C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Mozilla Firefox\plugin-container.exe
    C:\WINDOWS\System32\vssvc.exe
    C:\WINDOWS\System32\dllhost.exe
    C:\WINDOWS\System32\dllhost.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Christina Bouchard\Anwendungsdaten\DVDVideoSoftIEHelpers\you tubetomp3.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsof...?1158856724061
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/ge...sh/swflash.cab
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e (file missing)
    O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
    O24 - Desktop Component 1: MuggleNet's Goblet of Fire Movie Countdown (November 17) - https://www.mugglenet.com/countdown/g...wn.php?o=nov17

    --
    End of file - 7071 bytes
    LG, jinx

  2. #2
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Das Logfile ist sauber.

    Mach zur Sicherheit aber noch mal einen Scan mit einem aktuellen malwarebytes.

    LG

  3. #3
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard

    So, jetzt hab ich die Ergebnisse von 'Malwarebytes' und da war doch noch was:

    Malwarebytes Anti-Malware 1.60.0.1800
    Malwarebytes : Free anti-malware, anti-virus and spyware removal download

    Datenbank Version: v2012.01.09.04

    Windows XP Service Pack 3 x86 NTFS



    09.01.2012 13:16:20
    mbam-log-2012-01-09 (16-11-3.txt

    Art des Suchlaufs: Vollständiger Suchlauf
    Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
    Deaktivierte Suchlaufeinstellungen: P2P
    Durchsuchte Objekte: 296143
    Laufzeit: 2 Stunde(n), 52 Minute(n), 58 Sekunde(n)

    Infizierte Speicherprozesse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung: 6
    HKCR\.exe| (Hijacked.exeFile) -> Bösartig: (secfile) Gut: (exefile) -> Keine Aktion durchgeführt.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.E XE\shell\open\command| (Hijack.StartMenuInternet) -> Bösartig: ("C:\Dokumente und Einstellungen\C\Lokale Einstellungen\Anwendungsdaten\ave.exe" /START "C:\Programme\Internet Explorer\iexplore.exe") Gut: (iexplore.exe) -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

    Infizierte Verzeichnisse: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien: 1
    C:\WINDOWS\up.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

    (Ende)
    Löschen? In Quarantäne? Beides?

    LG, jinx

  4. #4
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Infizierte Dateien: 1
    C:\WINDOWS\up.exe (Trojan.Agent) -> Keine Aktion durchgeführt.
    Die Datei löschen.

    Danach alle Wiederherstellungspunkte löschen.

    Dann eine Reinigung mit CCleaner inklusive Registrybereinigung

    Abschließend einen weiteren Scan mit malwarebytes um zu schauen ob alles weg ist.

    LG

  5. #5
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard

    So, endlich erledigt. Hab' alles aus der Quarantäne gelöscht, hoffe, das war auch ok. Nach erneutem Check (über drei Stunden!! lol) hat Malwarebytes zwar nix gefunden, aber AntiVir meldete unterdessen einen Trash.Gen-Trojaner-Befall, den MWB aber nicht 'gesehen' hat. Bin jetzt ratos und stelle mal aus purer Ratlosigkeit mein Logfile rein:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:53:44, on 12.01.2012
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\UAService7.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\WINDOWS\NCLAUNCH.EXe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Mozilla Firefox\plugin-container.exe
    C:\Programme\Microsoft Office\Office\WINWORD.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\dllhost.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\C...\Anwendungsdaten\DVDVideoSoftIEH elpers\youtubetomp3.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsof...?1158856724061
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/ge...sh/swflash.cab
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e (file missing)
    O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
    O24 - Desktop Component 1: MuggleNet's Goblet of Fire Movie Countdown (November 17) - https://www.mugglenet.com/countdown/g...wn.php?o=nov17

    --
    End of file - 7090 bytes

    LG, jinx

  6. #6
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Da ist nix....

    Eventuell liegt da noch was in einem Systemwiederherstellungspunkt.

    Lösche doch mal alle Wiederhestellungspunkte und mach einen neuen Virenscan.


    LG

  7. #7
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard

    Hab ich doch aber schon gemacht.
    ... obwohl!! In einer Beschreibung hieß es 'löscht alle bis auf den letzten'. Ick probier's morgen noch mal! Hab jetzt keine 3++ Stunden Zeit.
    Danke Dir erstmal so weit und bis morgen!

    Schönen Abend,

    LG, jinx

  8. #8
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Eigentlich sollte dir das Virenprogramm ja auch den Fundort anzeigen. Schau mal genau hin und setz das entsprechend hier rein.


    LG

  9. #9
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard

    Moin,

    erschreckend, dass ich das nicht schon selber einfach reingestellt habe oder? Naja, bin ja noch ganz neu hier und weiß sowas nicht.
    Hier isset, live aus der Quarantänestation:
    Typ:Datei
    Quelle:C:\System Volume Information\_restore{EF7FF593-AE32-4FA7-BFAC-8B7AC1FAC358}(2)\RP188\A0086134.exe
    Status:Infiziert
    Quarantäne-Objekt:4db64e7a.qua
    Wiederhergestellt:NEIN
    Zu Avira hochgeladen:NEIN
    Betriebssystem:Windows XP/VISTA Workstation/Windows 7
    Suchengine:8.02.08.02
    Virendefinitionsdatei:7.11.19.131
    Meldung:TR/Trash.Gen
    Datum/Uhrzeit:12.01.2012, 15:32

    LG, jinx

  10. #10
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    joo, das ist eindeutig.

    Deaktiviere mal deine Systemwiederherstellung. Dann einmal den Rechner runter- und wieder hochfahren.

    Systemwiederherstellung wieder aktivieren. Nochmal einen Neustart - dann ist der Spuk vorbei.

    Nach der Deaktivierung der Systemwiederherstellung werden die Dateien automatisch alle gelöscht, denn es kann sein das du mit normalem löschen der Wiederherstellungspunkte nicht überall dran kommst.

    LG

  11. #11
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard

    Erledigt, aber das Teil geistert immer noch herum und die Systemwiederherstellung stellt sich immer wieder lustig von alleine an nach einem Neustart. Hm - stört das Teil auf der Seuchenauffangstation denn? Lieber löschen oder da lassen?

    LG, jinx

  12. #12
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Nein, es stört nicht, es wird nur jedesmal eine Meldung geben wenn du einen Virenscan machst.

    Hast du das Ding denn in der Quarantäne gelöscht ?

    Denn sonst speicherst du das Ding mit jedem Wiederherstellungspunkt neu ab.

    LG

  13. #13
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard

    Moin Q-Max,
    ich glaube die Seuchenauffangstation ist die Quarantäne auf 'Jinxisch'.

  14. #14
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard

    Hi,

    @Q-Max: jetzt habe ich es gelöscht und weg isset Dachte, in der Quarantäne wird es 'ignoriert', daher hab ich es da gelassen - ohne ein deutliches 'LÖSCH ES UM HIMMELS WILLEN!!' wollte ich da nicht ran.

    @schmidtchen: Du sprichst Jinxisch!! Ich bin... bin ... *sniff* gerührt!

    Danke an Euch beide! Ich stelle jetzt ein letztes Logfile rein, wenn's recht ist wenn nicht, müsst Ihr es ja nicht lesen :P

    Schickes WE,

    jinx


    P.S.:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:13:20, on 14.01.2012
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    C:\WINDOWS\System32\gearsec.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\UAService7.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\NCLAUNCH.EXe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Live\Messenger\msnmsgr.exe
    C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Mozilla Firefox\plugin-container.exe
    C:\Programme\Windows Live\Contacts\wlcomm.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Hotmail und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\C...\Anwendungsdaten\DVDVideoSoftIEH elpers\youtubetomp3.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsof...?1158856724061
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/ge...sh/swflash.cab
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e (file missing)
    O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
    O24 - Desktop Component 1: MuggleNet's Goblet of Fire Movie Countdown (November 17) - https://www.mugglenet.com/countdown/g...wn.php?o=nov17

    --
    End of file - 7021 bytes

  15. #15
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Das Logfile ist ok.....

    Immer löschen wenn du die verseuchte Datei nicht mehr brauchst......

    LG

  16. #16
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard

    Super, danke.

    Okay, da war ich nicht sicher, ob sie sich nicht dann wieder irgendwo festsetzen kann, keine Ahnung wie. Wieso lösche ich dann solche Viren nicht generell sofort?

  17. #17
    Avatar von Q-Max
    Q-Max ist offline

    Title
    Moderator
    seit
    19.05.2008
    Ort
    Laatzen bei Hannover
    Beiträge
    11.775

    Standard

    Die Option zum sofortigen löschen gibt es ja, aber wie gesagt es könnte ja sein das eine Datei verseucht ist die du noch brauchst und die "gereinigt" werden soll oder muss.

    LG

  18. #18
    Avatar von jinx
    jinx ist offline
    Themen Starter

    Title
    Benutzer
    seit
    06.05.2006
    Ort
    Ey, na hier!
    Beiträge
    570

    Standard

    Klar gibt's die, aber ich hab' hat bis jetzt immer Quarantäne gewählt - klang einfach sicherer. (Jaja, diese Laien ) Hast natürlich Recht.

    Jut, denn noch ma danke und ciao,

    LG, jinx

Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz