TR/Spam.Tedroo.I.59 und weitere Trojaner gefunden

#0
31.08.2009, 21:19
Member

Beiträge: 3716
#46 jpg ist auch gut, packe das mit der html datei in ein zipfile. benenne es pc1 oder pc2 je nach pc
Seitenanfang Seitenende
31.08.2009, 22:30
Member

Themenstarter

Beiträge: 64
#47 Hallo, hier von F-Secure:
Scanning Report
Monday, August 31, 2009 21:42:28 - 22:26:54
Computer name: JANUS
Target: System


--------------------------------------------------------------------------------

12 malware found
TrackingCookie.2o7 (spyware)
System (Disinfected)
TrackingCookie.Advertising (spyware)
System (Disinfected)
TrackingCookie.Atdmt (spyware)
System (Disinfected)
TrackingCookie.Adtech (spyware)
System (Disinfected)
TrackingCookie.Doubleclick (spyware)
System (Disinfected)
Backdoor.VB.ASY (spyware)
System (Disinfected)
TrackingCookie.Zanox (spyware)
System (Disinfected)
TrackingCookie.Adrevolver (spyware)
System (Disinfected)
TrackingCookie.Mediaplex (spyware)
System (Disinfected)
TrackingCookie.Tradedoubler (spyware)
System (Disinfected)
TrackingCookie.Atwola (spyware)
System (Disinfected)
TrackingCookie.Yieldmanager (spyware)
System (Disinfected)

--------------------------------------------------------------------------

Statistics
Scanned:
Files: 4978
System: 4978
Not scanned: 0
Actions:
Disinfected: 12
Renamed: 0
Deleted: 0
Not cleaned: 0
Submitted: 0
Habe die dann alle löschen lassen.
Seitenanfang Seitenende
31.08.2009, 22:35
Member

Themenstarter

Beiträge: 64
#48 Und hier als .jpg und die .htm gezippt. Übrigens bisher alles von heute PC2.

Seitenanfang Seitenende
01.09.2009, 17:24
Member

Beiträge: 3716
#49 PC 2 ist in Ordnung, Prevx kannst du behalten, wenn du magst, fahre die Settings aber runnter, ein wenig über mittel würde ich bleiben, nun pc 1. kannst du das nächste mal das bild vllt ein wenig größer machen? ist schlecht zu lesen sonst. evtl. das Fenster maximieren.
Seitenanfang Seitenende
02.09.2009, 01:57
Member

Themenstarter

Beiträge: 64
#50 Jetzt PC1, hier das Kaspersky-Ergebnis. Hat was gefunden, kann damit aber nichts löschen, oder?!?!?
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 2. September 2009 01:55:14
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 1/09/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2738064
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 68963
Viren gefunden: 2
Infizierte Objekte gefunden: 3
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 03:50:03

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temp\~DF75FF.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temp\~DF7611.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP\exactSitDummy[1].jpg Infizierte Objekte: Exploit.JS.DirektShow.ab übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB\hjjh[1]/packed Infizierte Objekte: Trojan-Downloader.JS.LuckySploit.q übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB\hjjh[1] GZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{E4648993-F68C-4E83-A723-E3C62847923A}\RP123\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
Seitenanfang Seitenende
02.09.2009, 02:03
Member

Themenstarter

Beiträge: 64
#51 Bei F-Secure kann ich nach dem Download nicht weitermachen, da immer ".... Server nicht gefunden.... " kommt. Probiere es morgen weiter.
Seitenanfang Seitenende
02.09.2009, 11:52
Member

Beiträge: 3716
#52 Lass erst mal f-secure. mach weiter mit Prevx. du weist ja, alles auf Maximum. das log kannst du doch speichern:
Rechtsklick aufs Icon in der Taskleiste von Prevx klicken -> da klickst du dann auf das 2. von oben "configure Monitoring" -> Dann öffnet sich Prevx und du klickst auf der Linken seite auf Tools -> Danach auf Save Scan
poste diesen.
Seitenanfang Seitenende
02.09.2009, 13:30
Member

Themenstarter

Beiträge: 64
#53 Hier der Scan mit Prevx. Wieso findet der eigentlich nichts, obwohl Kaspersky vorher 3 Elemente gefunden hat?!

Seitenanfang Seitenende
02.09.2009, 13:53
Member

Beiträge: 3716
#54 Weil nicht jeder alles finden kann.
ich melde mich gleich ok.
Seitenanfang Seitenende
02.09.2009, 14:02
Member

Beiträge: 3716
#55 Lad den Avenger:
http://virus-protect.org/artikel/tools/avenger.html
kopiere folgendes Script ein:
Folders to delete:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB
poste das log.
Bitte nicht das backup löschen, sag mir bitte wie groß das ist.
Seitenanfang Seitenende
03.09.2009, 15:31
Member

Themenstarter

Beiträge: 64
#56 Tut mir leid, komm mit Avenger nicht ganz klar...... bitte genauer beschreiben. Da steht immer, dass ein Moderator ein Script schreiben muß usw....... komme da irgendwie gar nicht zum Download.....
Danke, Mike
Seitenanfang Seitenende
03.09.2009, 16:09
Member

Beiträge: 3716
#57 http://swandog46.geekstogo.com/avenger2/download.php
und das script einkopieren:
Folders to delete:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB

files to delete:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB
poste das Log.
Seitenanfang Seitenende
03.09.2009, 19:59
Member

Themenstarter

Beiträge: 64
#58 Jetzt hats geklappt. Hier das Log:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP" deleted successfully.
Folder "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP" not found!
Deletion of file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB" not found!
Deletion of file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
03.09.2009, 20:43
Member

Beiträge: 3716
#59 Schicke mir mal das Backup an
markusg@paules-pc-forum.de
zu finden im Ordner Avenger.
wir sind dann hier übrigens durch. ich würde an deiner Stelle noch alle Passwörter endern, nur zur Sicherheit.
setze folgendes um:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/114329-paules-10-empfehlungen-zum-sicheren-surfen-im-internet.html
Seitenanfang Seitenende
03.09.2009, 21:22
Member

Themenstarter

Beiträge: 64
#60 Email an dich ist raus.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: