TR/Spam.Tedroo.I.59 und weitere Trojaner gefunden |
||
---|---|---|
#0
| ||
31.08.2009, 21:19
Member
Beiträge: 3716 |
#46
jpg ist auch gut, packe das mit der html datei in ein zipfile. benenne es pc1 oder pc2 je nach pc
|
|
|
||
31.08.2009, 22:30
Member
Themenstarter Beiträge: 64 |
#47
Hallo, hier von F-Secure:
Scanning Report Monday, August 31, 2009 21:42:28 - 22:26:54 Computer name: JANUS Target: System -------------------------------------------------------------------------------- 12 malware found TrackingCookie.2o7 (spyware) System (Disinfected) TrackingCookie.Advertising (spyware) System (Disinfected) TrackingCookie.Atdmt (spyware) System (Disinfected) TrackingCookie.Adtech (spyware) System (Disinfected) TrackingCookie.Doubleclick (spyware) System (Disinfected) Backdoor.VB.ASY (spyware) System (Disinfected) TrackingCookie.Zanox (spyware) System (Disinfected) TrackingCookie.Adrevolver (spyware) System (Disinfected) TrackingCookie.Mediaplex (spyware) System (Disinfected) TrackingCookie.Tradedoubler (spyware) System (Disinfected) TrackingCookie.Atwola (spyware) System (Disinfected) TrackingCookie.Yieldmanager (spyware) System (Disinfected) -------------------------------------------------------------------------- Statistics Scanned: Files: 4978 System: 4978 Not scanned: 0 Actions: Disinfected: 12 Renamed: 0 Deleted: 0 Not cleaned: 0 Submitted: 0 Habe die dann alle löschen lassen. |
|
|
||
31.08.2009, 22:35
Member
Themenstarter Beiträge: 64 |
#48
Und hier als .jpg und die .htm gezippt. Übrigens bisher alles von heute PC2.
Anhang: Pre_u_Kasp_PC2.zip
|
|
|
||
01.09.2009, 17:24
Member
Beiträge: 3716 |
#49
PC 2 ist in Ordnung, Prevx kannst du behalten, wenn du magst, fahre die Settings aber runnter, ein wenig über mittel würde ich bleiben, nun pc 1. kannst du das nächste mal das bild vllt ein wenig größer machen? ist schlecht zu lesen sonst. evtl. das Fenster maximieren.
|
|
|
||
02.09.2009, 01:57
Member
Themenstarter Beiträge: 64 |
#50
Jetzt PC1, hier das Kaspersky-Ergebnis. Hat was gefunden, kann damit aber nichts löschen, oder?!?!?
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Mittwoch, 2. September 2009 01:55:14 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 1/09/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 2738064 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ C:\ D:\ E:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 68963 Viren gefunden: 2 Infizierte Objekte gefunden: 3 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 03:50:03 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Dani\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temp\~DF75FF.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temp\~DF7611.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP\exactSitDummy[1].jpg Infizierte Objekte: Exploit.JS.DirektShow.ab übersprungen C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB\hjjh[1]/packed Infizierte Objekte: Trojan-Downloader.JS.LuckySploit.q übersprungen C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB\hjjh[1] GZIP: infiziert - 1 übersprungen C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Dani\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Dani\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{E4648993-F68C-4E83-A723-E3C62847923A}\RP123\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
|
|
||
02.09.2009, 02:03
Member
Themenstarter Beiträge: 64 |
#51
Bei F-Secure kann ich nach dem Download nicht weitermachen, da immer ".... Server nicht gefunden.... " kommt. Probiere es morgen weiter.
|
|
|
||
02.09.2009, 11:52
Member
Beiträge: 3716 |
#52
Lass erst mal f-secure. mach weiter mit Prevx. du weist ja, alles auf Maximum. das log kannst du doch speichern:
Rechtsklick aufs Icon in der Taskleiste von Prevx klicken -> da klickst du dann auf das 2. von oben "configure Monitoring" -> Dann öffnet sich Prevx und du klickst auf der Linken seite auf Tools -> Danach auf Save Scan poste diesen. |
|
|
||
02.09.2009, 13:30
Member
Themenstarter Beiträge: 64 |
#53
Hier der Scan mit Prevx. Wieso findet der eigentlich nichts, obwohl Kaspersky vorher 3 Elemente gefunden hat?!
Anhang: Pvevx_PC1.rar
|
|
|
||
02.09.2009, 13:53
Member
Beiträge: 3716 |
#54
Weil nicht jeder alles finden kann.
ich melde mich gleich ok. |
|
|
||
02.09.2009, 14:02
Member
Beiträge: 3716 |
#55
Lad den Avenger:
http://virus-protect.org/artikel/tools/avenger.html kopiere folgendes Script ein: Folders to delete: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB poste das log. Bitte nicht das backup löschen, sag mir bitte wie groß das ist. |
|
|
||
03.09.2009, 15:31
Member
Themenstarter Beiträge: 64 |
#56
Tut mir leid, komm mit Avenger nicht ganz klar...... bitte genauer beschreiben. Da steht immer, dass ein Moderator ein Script schreiben muß usw....... komme da irgendwie gar nicht zum Download.....
Danke, Mike |
|
|
||
03.09.2009, 16:09
Member
Beiträge: 3716 |
#57
http://swandog46.geekstogo.com/avenger2/download.php
und das script einkopieren: Folders to delete: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB files to delete: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB poste das Log. |
|
|
||
03.09.2009, 19:59
Member
Themenstarter Beiträge: 64 |
#58
Jetzt hats geklappt. Hier das Log:
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Folder "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP" deleted successfully. Folder "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB" deleted successfully. Error: file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP" not found! Deletion of file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB" not found! Deletion of file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
|
|
||
03.09.2009, 20:43
Member
Beiträge: 3716 |
#59
Schicke mir mal das Backup an
markusg@paules-pc-forum.de zu finden im Ordner Avenger. wir sind dann hier übrigens durch. ich würde an deiner Stelle noch alle Passwörter endern, nur zur Sicherheit. setze folgendes um: http://www.paules-pc-forum.de/forum/4-pc-sicherheit/114329-paules-10-empfehlungen-zum-sicheren-surfen-im-internet.html |
|
|
||
03.09.2009, 21:22
Member
Themenstarter Beiträge: 64 |
#60
Email an dich ist raus.
|
|
|
||