TR/Spam.Tedroo.I.59 und weitere Trojaner gefunden

#46 jpg ist auch gut, packe das mit der html datei in ein zipfile. benenne es pc1 oder pc2 je nach pc

#47 Hallo, hier von F-Secure:
Scanning Report
Monday, August 31, 2009 21:42:28 - 22:26:54
Computer name: JANUS
Target: System


--------------------------------------------------------------------------------

12 malware found
TrackingCookie.2o7 (spyware)
System (Disinfected)
TrackingCookie.Advertising (spyware)
System (Disinfected)
TrackingCookie.Atdmt (spyware)
System (Disinfected)
TrackingCookie.Adtech (spyware)
System (Disinfected)
TrackingCookie.Doubleclick (spyware)
System (Disinfected)
Backdoor.VB.ASY (spyware)
System (Disinfected)
TrackingCookie.Zanox (spyware)
System (Disinfected)
TrackingCookie.Adrevolver (spyware)
System (Disinfected)
TrackingCookie.Mediaplex (spyware)
System (Disinfected)
TrackingCookie.Tradedoubler (spyware)
System (Disinfected)
TrackingCookie.Atwola (spyware)
System (Disinfected)
TrackingCookie.Yieldmanager (spyware)
System (Disinfected)

--------------------------------------------------------------------------

Statistics
Scanned:
Files: 4978
System: 4978
Not scanned: 0
Actions:
Disinfected: 12
Renamed: 0
Deleted: 0
Not cleaned: 0
Submitted: 0
Habe die dann alle löschen lassen.

#48 Und hier als .jpg und die .htm gezippt. Übrigens bisher alles von heute PC2.

#49 PC 2 ist in Ordnung, Prevx kannst du behalten, wenn du magst, fahre die Settings aber runnter, ein wenig über mittel würde ich bleiben, nun pc 1. kannst du das nächste mal das bild vllt ein wenig größer machen? ist schlecht zu lesen sonst. evtl. das Fenster maximieren.

#50 Jetzt PC1, hier das Kaspersky-Ergebnis. Hat was gefunden, kann damit aber nichts löschen, oder?!?!?
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 2. September 2009 01:55:14
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 1/09/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2738064
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 68963
Viren gefunden: 2
Infizierte Objekte gefunden: 3
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 03:50:03

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temp\~DF75FF.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temp\~DF7611.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP\exactSitDummy[1].jpg Infizierte Objekte: Exploit.JS.DirektShow.ab übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB\hjjh[1]/packed Infizierte Objekte: Trojan-Downloader.JS.LuckySploit.q übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB\hjjh[1] GZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Dani\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{E4648993-F68C-4E83-A723-E3C62847923A}\RP123\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#51 Bei F-Secure kann ich nach dem Download nicht weitermachen, da immer ".... Server nicht gefunden.... " kommt. Probiere es morgen weiter.

#52 Lass erst mal f-secure. mach weiter mit Prevx. du weist ja, alles auf Maximum. das log kannst du doch speichern:
Rechtsklick aufs Icon in der Taskleiste von Prevx klicken -> da klickst du dann auf das 2. von oben "configure Monitoring" -> Dann öffnet sich Prevx und du klickst auf der Linken seite auf Tools -> Danach auf Save Scan
poste diesen.

#53 Hier der Scan mit Prevx. Wieso findet der eigentlich nichts, obwohl Kaspersky vorher 3 Elemente gefunden hat?!

#54 Weil nicht jeder alles finden kann.
ich melde mich gleich ok.

#55 Lad den Avenger:
http://virus-protect.org/artikel/tools/avenger.html
kopiere folgendes Script ein:
Folders to delete:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB
poste das log.
Bitte nicht das backup löschen, sag mir bitte wie groß das ist.

#56 Tut mir leid, komm mit Avenger nicht ganz klar...... bitte genauer beschreiben. Da steht immer, dass ein Moderator ein Script schreiben muß usw....... komme da irgendwie gar nicht zum Download.....
Danke, Mike

#57 http://swandog46.geekstogo.com/avenger2/download.php
und das script einkopieren:
Folders to delete:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB

files to delete:
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP
C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB
poste das Log.

#58 Jetzt hats geklappt. Hier das Log:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP" deleted successfully.
Folder "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP" not found!
Deletion of file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YB8R2PAP" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB" not found!
Deletion of file "C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YGTQT7OB" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

#59 Schicke mir mal das Backup an
markusg@paules-pc-forum.de
zu finden im Ordner Avenger.
wir sind dann hier übrigens durch. ich würde an deiner Stelle noch alle Passwörter endern, nur zur Sicherheit.
setze folgendes um:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/114329-paules-10-empfehlungen-zum-sicheren-surfen-im-internet.html

#60 Email an dich ist raus.