Mal wieder Trojaner Vundo und Crypt.xpack

#31 So das ist der Avenger Log

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "Bfi02" disabled successfully.
Driver "Bfi02" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Bfi02.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Bfi02.sys" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Bfi02" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Bfi02" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Bfi02.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Bfi02.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Bfi02" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Bfi02.sys" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Bfi02.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Bfi02.sys" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Bfi02.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Bfi02" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Bfi02" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\Bfi02.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\Bfi02.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
__________
MfG Mangekyou

#32 Hallo

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\TEMP\bda52.tmp

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

-------

suche C:\WINDOWS\system32\clkcnt.txt - klicke auf die txt-Datei und kopiere ab, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Der Virus Total Scan :

Datei bda52.tmp empfangen 2008.06.13 15:27:09 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.13.1 2008.06.13 -
AntiVir 7.8.0.55 2008.06.13 -
Authentium 5.1.0.4 2008.06.12 -
Avast 4.8.1195.0 2008.06.13 -
AVG 7.5.0.516 2008.06.13 -
BitDefender 7.2 2008.06.13 -
CAT-QuickHeal 9.50 2008.06.12 -
ClamAV 0.92.1 2008.06.13 -
DrWeb 4.44.0.09170 2008.06.13 -
eSafe 7.0.15.0 2008.06.12 -
eTrust-Vet 31.6.5871 2008.06.13 -
Ewido 4.0 2008.06.13 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.13 -
Fortinet 3.14.0.0 2008.06.13 -
GData 2.0.7306.1023 2008.06.13 -
Ikarus T3.1.1.26.0 2008.06.13 -
Kaspersky 7.0.0.125 2008.06.13 -
McAfee 5316 2008.06.12 -
Microsoft 1.3604 2008.06.13 -
NOD32v2 3184 2008.06.13 -
Norman 5.80.02 2008.06.12 -
Panda 9.0.0.4 2008.06.12 -
Prevx1 V2 2008.06.13 -
Rising 20.48.40.00 2008.06.13 -
Sophos 4.30.0 2008.06.13 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.13 -
TheHacker 6.2.92.346 2008.06.12 -
VBA32 3.12.6.7 2008.06.12 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.13 -

weitere Informationen
File size: 70514 bytes
MD5...: a526fb610bf96ab8de5631b31c583da4
SHA1..: 0a35df5b704d677304a911198e46ce90560690dd
SHA256: 42f78bfac51030daa2896ad8b684fcb1735730d8f593db19067e7a9e0872c4dc
SHA512: 5261878e0942e1779d2d0a8b155f983718b1e8e1091a3a6b10e1e6fb2af659c0
56f4abe47838c897d46dbcd0bdb8d1fb9578dd30143b485202270e8401052d5c
PEiD..: -
PEInfo: -

Die C:\WINDOWS\system32\clkcnt.txt Datei ist leer ... also es erschien ein leeres Editorfenster.
__________
MfG Mangekyou

#34 «
lösche :
C:\WINDOWS\system32\clkcnt.txt

«
scanne zum abschluss mit dr.web, einmal im normalmodus, dann noch mal im abges.modus, berichte, ob noch etwas gefunden wurde
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#35 So Scan im Normalmodus :

=============================================================================
Dr.Web® Scanner für Windows v4.44.5 (4.44.5.05200)

edit (Sabina)
-----------------------------------------------------------------------------
Scanstatistiken
-----------------------------------------------------------------------------
Gescannt: 1221
Infizierte Objekte: 0
Modifikationen: 0
Verdächtige: 0
Adware: 0
Dialers: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 0
Ignoriert: 0
Geschwindigkeit:: 2103 Kb/s
Dauer:: 00:01:46
-----------------------------------------------------------------------------

Der Scan vom Abgesicherten Modus ist im Anhang


__________
MfG Mangekyou

#36 Hallo.

nun gut, bist entlassen
deinstalliere die ganze Reinigungssoftware wieder (Malwarebytes kannst du behalten)

Wenn es noch Probleme geben sollte, melde dich und wenn du mal Zeit und Musse hast - sichere deine Daten und formatiere, denn der Rechner , obwohl erst mal sauber, bleibt kompromitiert.
Denke mal über Backup-Software nach, da reicht ein Mausklick und alles ist wieder o.k. - lohnt sich wirklich...
Beispiel (es gibt andere)
http://virus-protect.org/artikel/tools/trueimage.html
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Gut, vielen vielen Dank erstmal ... es hat sich wirklich gelohnt hier in das Forum zu kommen und ich werde euch weiter empfehlen
Das mit dem Backup ist ne super Idee, werde ich machen.

Machs gut !

Danke für deine Zeit
__________
MfG Mangekyou