• Herzlich Willkommen!

    Nach der Schließung von inDiablo.de wurden die Inhalte und eure Accounts in dieses Forum konvertiert. Ihr könnt euch hier mit eurem alten Account weiterhin einloggen, müsst euch dafür allerdings über die "Passwort vergessen" Funktion ein neues Passwort setzen lassen.

    Solltet ihr keinen Zugriff mehr auf die mit eurem Account verknüpfte Emailadresse haben, so könnt ihr euch unter Angabe eures Accountnamens, eurer alten Emailadresse sowie eurer gewünschten neuen Emailadresse an einen Administrator wenden.

syscron.exe - Virus?

Wetterfrosch

Wetterfrosch

Mitglied
Registriert
20 Juli 2006
Beiträge
359
Hallo ihr,

meine Eltern haben mich zu Hilfe gerufen, weil ihr Rechner in letzter Zeit ein etwas seltsames Verhalten hat, aber so wirklich komme ich grad auch nicht weiter. Deshalb könnte ich eure Hilfe echt gebrauchen! Die Situation ist folgende:



(Win XP, aktuelle Updates für Windows und Antivir installiert)

Bei jedem PC-Start öffnet sich der Ordner "Eigene Dateien" von selbst. Ursache dafür ist wohl die Datei "syscron.exe" unter

"Start -> Programme -> Autostart -> Syscron.exe"

Wenn man auf diese klickt, passiert genau das, es öffnet sich der Ordner "Eigene Dateien". Interessanterweise ist diese Datei auch angeblich erstellt und geändert worden im Jahr 2008 - der Rechner meiner Eltern ist aber von 2009.
Ich habe leider auch keine Ahnung, was früher unter Autostart für Dateien waren.

Ich habe Antivir einmal komplett durchlaufen lassen mit ziemlich hoher Heuristik, aber er findet (außer ein paar Dateien unter /sun/Java/... und das ist doch das normale Java, oder?) überhaupt nichts.

Eine Internet-Recherche hat mir auch nicht wirklich weitergeholfen, es gibt zwar einen bekannten Virus, aber der heißt "syscon.exe" und nicht "syscron.exe". Für letzteres finde ich irgendwie gar nichts...



An diesem Punkt weiß ich mittlerweile nicht mehr so richtig weiter. Könnt ihr mir da bitte helfen?


Vielen Dank schonmal für eure Hilfe!!

Grüße, Wetterfrosch
 
Laut http://www.sophos.com/security/analyses/viruses-and-spyware/trojdwnldrigy.html ist das ein relativ neuer Trojaner namens Troj/DwnLdr-IGY.

Poste bitte zusätzlich noch die Namen der Dateien unter Java. Danach schauen wir uns an, was wir machen, aber wenn da mehr drauf ist als ein Trojaner, ist vermutlich Neuaufsetzen die einzig wirklich sichere Methode. Versuch vorläufig nicht, das Ding zu entfernen und lad bitte keine tollen "Removaltools" von irgendwoher runter, die sind ggf. gefährlicher als der Trojaner.
 
Danke für deine Antwort!!

Also lag ich mit meinem Virus-Verdacht doch richtig. Die Beschreibung in deinem Link passt auch genau auf meinen Fall.


Leider hab ich in der Zwischenzeit eine ziemliche Dummheit gemacht:

Ich hab ausprobiert, was passiert, wenn ich die Datei "syscron.exe" aus dem Autostart in den Papierkorb verschiebe. Danach ließ sich der PC immer noch normal starten und "Eigene Dateien" wurde auch nicht mehr automatisch aufgerufen. Das löste jetzt natürlich noch nicht wirklich das Problem mit dem Virus sondern nur das Symptom, aber war ja kein Problem, ich hätte die Datei ja immer wiederherstellen können.

Und dann wollte ich nochmals Antivir durchlaufen lassen, um den Report hier zu posten. Damit das nicht allzu lange dauert, hab ich davor nochmals eine Datenträgerbereinigung (Start -> Programme -> Zubehör -> Systemprogramme -> Datenträgerbereinigung) gemacht, weil meine Eltern sowas wahrscheinlich noch nie gemacht hatten. Tja, und dabei hatte ich vergessen, dass damit der Papierkorb auch geleert wird, sprich die "syscron.exe" ist jetzt endgültig gelöscht.

Sorry, war total blöd von mir und ist mir gleich darauf auch wieder eingefallen, aber das ist im Moment der Stand der Dinge.



Antivir (nochmals geupdatet) ergab:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 9. Juli 2010 13:09

Es wird nach 2326424 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KNECHT1

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 21.04.2010 15:36:55
AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.04.2010 15:36:55
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:01:45
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:57:39
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 07:57:39
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 07:57:39
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 07:57:39
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 07:57:39
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 07:57:39
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 07:57:39
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 09:25:20
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 20:25:25
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 07:41:01
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 17:38:14
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 09:52:08
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 12:36:25
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 22:02:12
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 12:41:39
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 11:50:49
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 11:50:50
VBASE023.VDF : 7.10.9.37 2048 Bytes 07.07.2010 11:50:50
VBASE024.VDF : 7.10.9.38 2048 Bytes 07.07.2010 11:50:50
VBASE025.VDF : 7.10.9.39 2048 Bytes 07.07.2010 11:50:50
VBASE026.VDF : 7.10.9.40 2048 Bytes 07.07.2010 11:50:50
VBASE027.VDF : 7.10.9.41 2048 Bytes 07.07.2010 11:50:50
VBASE028.VDF : 7.10.9.42 2048 Bytes 07.07.2010 11:50:50
VBASE029.VDF : 7.10.9.43 2048 Bytes 07.07.2010 11:50:50
VBASE030.VDF : 7.10.9.44 2048 Bytes 07.07.2010 11:50:50
VBASE031.VDF : 7.10.9.52 68608 Bytes 09.07.2010 11:06:03
Engineversion : 8.2.4.10
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 19:04:33
AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 08.07.2010 11:50:52
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 08:23:30
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 19:04:33
AERDL.DLL : 8.1.4.6 541043 Bytes 18.04.2010 09:01:53
AEPACK.DLL : 8.2.2.5 430453 Bytes 26.06.2010 09:52:12
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 08.07.2010 11:50:51
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 26.06.2010 09:52:12
AEHELP.DLL : 8.1.11.6 242038 Bytes 26.06.2010 09:52:10
AEGEN.DLL : 8.1.3.13 381300 Bytes 08.07.2010 11:50:51
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 19:04:32
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 08:23:27
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 19:04:31
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 21.04.2010 15:36:55
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 21.04.2010 15:36:55
AVARKT.DLL : 10.0.0.14 227176 Bytes 21.04.2010 15:36:55
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 21.04.2010 15:36:55

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 9. Juli 2010 13:09

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\RNG\seed
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\ilusagemask
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\niusagemask
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\latestindex
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\index1aa\niusagemask
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\index1aa\ilusagemask
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\index1ab\niusagemask
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Fusion\NativeImagesIndex\v2.0.50727_32\index1ab\ilusagemask
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Prefetcher\tracesprocessed
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'mscorsvw.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'WISSEN~1.SCR' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'Power2GoExpress.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnf.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb12.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpzipm12.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '164' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '459' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Knecht\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\6ce4b700-1f8f4275
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
--> Main.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
C:\Dokumente und Einstellungen\Knecht\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\3f4316df-64105f4c
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
--> Main.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
C:\Dokumente und Einstellungen\Knecht\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\70c078fa-46547aae
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.CVE-2009-3867.8861
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.CVE-2009-3867.8861
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.2502
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.3243
C:\Dokumente und Einstellungen\Knecht\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\61e415bb-705dbc56
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoade.N.2
--> fiece/MyYjefe.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoade.N.2
C:\Programme\Spiele\Gothic\Uninstall-BalancingMod.exe
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
C:\Programme\Spiele\Gothic\Uninstall-PlayerKit.exe
--> Object
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
C:\Programme\Spiele\Gothic II\Uninstall-PlayerKit.exe
--> Object
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
C:\System Volume Information\_restore{EFBE917F-A6D6-4F0B-AA71-9850F2FF1DAB}\RP170\A0104534.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen


Beginne mit der Desinfektion:
C:\System Volume Information\_restore{EFBE917F-A6D6-4F0B-AA71-9850F2FF1DAB}\RP170\A0104534.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46eabccf.qua' verschoben!
C:\Dokumente und Einstellungen\Knecht\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\61e415bb-705dbc56
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoade.N.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e899369.qua' verschoben!
C:\Dokumente und Einstellungen\Knecht\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\70c078fa-46547aae
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.3243
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0cd0c980.qua' verschoben!
C:\Dokumente und Einstellungen\Knecht\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\3f4316df-64105f4c
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6a168694.qua' verschoben!
C:\Dokumente und Einstellungen\Knecht\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\6ce4b700-1f8f4275
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2f65abaf.qua' verschoben!


Ende des Suchlaufs: Freitag, 9. Juli 2010 14:38
Benötigte Zeit: 1:03:23 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

13138 Verzeichnisse wurden überprüft
698775 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
698768 Dateien ohne Befall
9543 Archive wurden durchsucht
11 Warnungen
5 Hinweise
371077 Objekte wurden beim Rootkitscan durchsucht
9 Versteckte Objekte wurden gefunden
Zum Vergrößern anklicken....



HINWEIS: Ich habe es mir erlaubt, 6 Warnungen aus dem Report zu löschen, weil es sich auf etwas persönliche Daten bezogen hat und diese definitiv ungefährlich waren. Die Warnung war jeweils nur
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
Mit den gezeigten 5 weiteren Warnungen von oben (die genauso ungefährlich sind, denn diese Dateien kenne ich) gibt es also keine Warnungen mehr, sondern besorgniserregend sind nur die 7 Funde.
 
Zuletzt bearbeitet:
Wenn Avira sagt, dass alles entfernt wurde, mach den Komplettscan nochmal und schau, ob noch was über ist. Eventuell kannst du auch mal HijackThis drüber laufen lassen, aber damit kenne ich mich nicht besonders gut aus.

Ich vermute, dass nix schlimmes passiert ist, auf jeden Fall würde ich eine Sicherung wichtiger Daten empfehlen und das System eine Weile beobachten bzw. öfter mal full scannen.

Außerdem würde ich empfehlen, Java zu deinstallieren, den kompletten Restordner zu entsorgen und die neueste Version frisch zu installieren.
 
Hallo,

die Erkennungsraten sind quasi nicht existent:
http://www.virustotal.com/analisis/...a8517279f3cda8f48950ce21a6b65296e9-1277979271

Die Funktion des Schädlings ist hier beschrieben (wobei das leider nicht großartig besser als die Erklärung auf der Seite von Sophos ist): http://www.threatexpert.com/report.aspx?md5=95bda5b95508c47f515628a20c77f3fc

Zum Report von AntiVir:

1.) Die von dir installierte Version von Java ist hoffentlich aktuell....deine Sammlung an Exploits im Cache ist nämlich durchaus beachtlich.

2.) Noch interessanter könnte das hier sein:
Code: 
C:\System Volume Information\_restore{EFBE917F-A6D6-4F0B-AA71-9850F2FF1DAB}\RP170\A0104534.sys
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46eabccf.qua' verschoben!

Die Vorgehensweise jetzt (wobei ich nicht weiß, ob sich die Optionen und Menüs mit der 2010er Version geändert haben):
- Lege einen neuen Ordner auf deinem Desktop an und gib ihm einen treffenden Namen (z.B. "Virus").
- Starte AntiVir -> Ansicht -> Verwaltung -> Quarantäne -> Rechtsklick auf eine der gemeldeten Dateien -> Wiederherstellen nach... -> gebe als Ort den oben erstellten Ordner an
- Danach bitte den Hintergrundwächter von AntiVir einstweilen deaktivieren.
- Lade die Datei bei den folgenden Diensten hoch und poste die Ergebnisse bzw. den passenden Link.
http://virscan.org/
http://www.virustotal.com/de/
- Behalte die Datei noch, lösche nichts.


Edit:
Das angesprochene HJT ist vollkommen veraltet und nicht geeignet, um wirklich tief ins System sehen zu können. OTL, RSIT oder DDS sind um Längen besser.
 
Zuletzt bearbeitet:
drago schrieb:
[ ... ]

Eventuell kannst du auch mal HijackThis drüber laufen lassen, aber damit kenne ich
mich nicht besonders gut aus.

Ich vermute, dass nix schlimmes passiert ist, auf jeden Fall würde ich eine Sicherung
wichtiger Daten empfehlen und das System eine Weile beobachten bzw. öfter mal
full scannen.


[ ... ]
Zum Vergrößern anklicken....




mohooin :hy:

durch einen scan mit hijackthis passiert erstmal garnix, solange man nichts fixed...

ein backup der daten ist daher absolut nicht notwendig, da hijack wie gesagt nur scant
und nicht automat. mit fixed

eine genaue anleitung mit allen wichtigen infos gibts im trojaner-board... :top:

http://www.trojaner-board.de/51130-anleitung-hijackthis.html




viel erfolg!
 
Das backup bezog sich auf die allgemeine Situation dieses Rechners, nicht auf Hijackthis. Geht mehr darum, die Daten zu sichern, bevor der Rechner durch einen übersehenen Trojaner unbrauchbar wird.
 
Danke für eure Antworten!!


[RoMa] schrieb:
1.) Die von dir installierte Version von Java ist hoffentlich aktuell....deine Sammlung an Exploits im Cache ist nämlich durchaus beachtlich.
Zum Vergrößern anklicken....

Was meinst du mit dem letzten Satz? Was sind denn "Exploits im Cache"?


Ich werde Java jetzt mal deinstallieren, danach nochmal einen Virenscan durchführen, und das Ergebnis hier posten. Mal schauen, was dann herauskommt...
 
Wetterfrosch87 schrieb:
Was meinst du mit dem letzten Satz? Was sind denn "Exploits im Cache"?
Zum Vergrößern anklicken....

Er meint damit aus deinem Scan Protokoll
C:\Dokumente und Einstellungen\Knecht\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\61e415bb-705dbc56
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoade.N.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e899369.qua' verschoben!
Zum Vergrößern anklicken....

==> Klugscheissmodus ON
Bei der Menge an Trojanern ist die Warscheinlichkeit groß, daß längst ein Rootkit den Weg in das System gefunden hat.
Ich an deiner Stelle würde bei der Sachlage über eine komplette Neuinstallation nachdenken
<== Klugscheissmodus OFF
 
Wetterfrosch87 schrieb:
Ich werde Java jetzt mal deinstallieren, danach nochmal einen Virenscan durchführen, und das Ergebnis hier posten. Mal schauen, was dann herauskommt...
Zum Vergrößern anklicken....
Dein Herangehen an die Sache ist wenig zielgerichtet.

1.) Welche Java-Version war bzw. ist vorhanden?

2.) Ein erneuter Virenscan bringt genau gar nichts. Untersuche die eine Datei wie oben beschrieben. Dieser Treiber in der Systemwiederherstellung sieht nämlich nicht gerade prickelnd aus.

3.) Stichwort "Systemwiederherstellung":
Dort hat ein Virenscanner nichts zu suchen und schon gar nicht zu löschen. Wenn's da mal einen der vielen Fehlalarme gibt und du später einmal zu einem Punkt zurückspringen willst, dann war's das. System im Eimer.

4.) Zu den Exploits hat sich bereits Don Krawallo geäußert. Besteht da noch Klärungsbedarf? Wobei du wohl spätestens jetzt die Suchmaschine deiner Wahl mit diesen Begriffen gefüttert hast....von daher wohl nicht.
 
Irgendwie helfen mir eure Antworten gerade kaum weiter.


Ich versuche mal sogut es geht zu antworten:

Die Java Version war "6 Update 20", was laut Java-Internetseite das aktuellste war. Ich habe es wie vorhin geschrieben deinstalliert, und alle Reste, die ich mit der "Suche" von Windows finden konnte, ebenfalls gelöscht.

Der anschließende Scan ergab:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 10. Juli 2010 15:52

Es wird nach 2329261 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KNECHT1

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 21.04.2010 15:36:55
AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.04.2010 15:36:55
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:01:45
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 07:57:39
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 07:57:39
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 07:57:39
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 07:57:39
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 07:57:39
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 07:57:39
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 07:57:39
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 09:25:20
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 20:25:25
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 07:41:01
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 17:38:14
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 09:52:08
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 12:36:25
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 22:02:12
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 12:41:39
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 11:50:49
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 11:50:50
VBASE023.VDF : 7.10.9.37 2048 Bytes 07.07.2010 11:50:50
VBASE024.VDF : 7.10.9.38 2048 Bytes 07.07.2010 11:50:50
VBASE025.VDF : 7.10.9.39 2048 Bytes 07.07.2010 11:50:50
VBASE026.VDF : 7.10.9.40 2048 Bytes 07.07.2010 11:50:50
VBASE027.VDF : 7.10.9.41 2048 Bytes 07.07.2010 11:50:50
VBASE028.VDF : 7.10.9.42 2048 Bytes 07.07.2010 11:50:50
VBASE029.VDF : 7.10.9.43 2048 Bytes 07.07.2010 11:50:50
VBASE030.VDF : 7.10.9.44 2048 Bytes 07.07.2010 11:50:50
VBASE031.VDF : 7.10.9.56 112640 Bytes 09.07.2010 12:02:04
Engineversion : 8.2.4.10
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 19:04:33
AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 08.07.2010 11:50:52
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 08:23:30
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 19:04:33
AERDL.DLL : 8.1.4.6 541043 Bytes 18.04.2010 09:01:53
AEPACK.DLL : 8.2.2.5 430453 Bytes 26.06.2010 09:52:12
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 08.07.2010 11:50:51
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 26.06.2010 09:52:12
AEHELP.DLL : 8.1.11.6 242038 Bytes 26.06.2010 09:52:10
AEGEN.DLL : 8.1.3.13 381300 Bytes 08.07.2010 11:50:51
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 19:04:32
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 08:23:27
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 19:04:31
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 21.04.2010 15:36:55
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 21.04.2010 15:36:55
AVARKT.DLL : 10.0.0.14 227176 Bytes 21.04.2010 15:36:55
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 21.04.2010 15:36:55

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 10. Juli 2010 15:52

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'WISSEN~1.SCR' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Power2GoExpress.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnf.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpgs2wnd.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpztsb12.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpzipm12.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\exe.exe
[FUND] Ist das Trojanische Pferd TR/Siggen.A

Die Registry wurde durchsucht ( '455' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\3C.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.93696.1
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\3D.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.93696.1
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\exe.exe
[FUND] Ist das Trojanische Pferd TR/Siggen.A
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\jar_cache2679446760002270562.tmp
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.yio.3361
--> seopack.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.yio.3361
C:\Programme\Spiele\Gothic\Uninstall-BalancingMod.exe
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
C:\Programme\Spiele\Gothic\Uninstall-PlayerKit.exe
--> Object
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
C:\Programme\Spiele\Gothic II\Uninstall-PlayerKit.exe
--> Object
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!
[WARNUNG] Zu wenig Speicher! Die Datei wurde nicht durchsucht!


Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\jar_cache2679446760002270562.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.yio.3361
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '462828b3.qua' verschoben!
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\3D.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.93696.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e730737.qua' verschoben!
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\3C.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.93696.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c2c5dde.qua' verschoben!
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\exe.exe
[FUND] Ist das Trojanische Pferd TR/Siggen.A
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\DOKUME~1\Knecht\LOKALE~1\Temp\exe.exe> wurde erfolgreich entfernt.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\DOKUME~1\Knecht\LOKALE~1\Temp\exe.exe> wurde erfolgreich entfernt.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6ae01259.qua' verschoben!


Ende des Suchlaufs: Samstag, 10. Juli 2010 17:03
Benötigte Zeit: 59:23 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12912 Verzeichnisse wurden überprüft
652012 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
652007 Dateien ohne Befall
9468 Archive wurden durchsucht
11 Warnungen
4 Hinweise
372797 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Zum Vergrößern anklicken....

(HINWEIS: Ich hab erneut ein paar Warnungen gelöscht. Die Warnungen lassen sich also alle erklären, sind defintiv ungefährlich)



Ein bissl verstehe ich, warum ihr meint, dass der Scan nichts gebracht hat. Die Meldungen sind nämlich immer noch da.

Insbesondere weitet sich das mit den Trojanern ja irgendwie aus. Vor allem war diesmal auch die Registry betroffen

Eine Neuinstallation von Windows möchte ich definitv vermeiden, weil ich soetwas noch nie gemacht habe und vor allem gerade selbst dermaßen viel um die Ohren habe, dass ich gehofft hatte, das ganze anderweitig zu lösen...


Auch wenn das für euch vielleicht unvorstellbar ist, könnte mir trotzdem jemand genauer erklären, was mit "Exploits im Cache" gemeint war? Meinte er einfach nur, dass in meinem Scan relativ viele Viren drinstehen?



Danke für eure Hilfe!!









EDIT: Ich bin gerade dabei die Dateien aus dem letzten Scan bei virscan.org hochzuladen. Die Ergebnisse sind:

1. Datei: http://virscan.org/report/f009764be30fbb81766b9b52e719a26c.html

2. Datei: http://virscan.org/report/55764487e07190e6affb01a277f44cb6.html

3. Datei: http://virscan.org/report/2af661caf83b4a4b23db2ef6cf7ad98b.html

4. Datei: http://virscan.org/report/c35bd4fe9175ec911d07a676b3d19690.html




Soll ich die alten Viren vom ersten Scan auch hochladen? Und vor allem: Was soll ich mit meinem Viren-Ordner jetzt machen? Ich will den net einfach auf dem Desktop lassen...
 
Zuletzt bearbeitet:
Der neuerliche Scan war entgegen meiner Aussage nicht sinnlos. Dadurch wird allerdings dein Problem mehr als deutlich: Immer mal wieder oberflächliche Löschungen, der Rechner bleibt aber weiterhin infiziert. Irgendwie sieht mir das sehr nach TDSS aus. Aber mal abwarten...

Btw. wenn du so ein Logfile editierst, kannst du keine lückenlose Antwort erwarten. Das dürfte aber klar sein.

Den Kram hier...
Code: 
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\3D.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.93696.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e730737.qua' verschoben!
C:\Dokumente und Einstellungen\Knecht\Lokale Einstellungen\Temp\3C.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.93696.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c2c5dde.qua' verschoben!
...mit der bereits weiter oben angesprochenen Datei überprüfen lassen und die Ergebnisse hier posten.


Zu Exploits & Co. befrage man das Netz:
http://de.wikipedia.org/wiki/Exploit
http://de.wikipedia.org/wiki/Cache
 
Leider hatte ich recht: TDSS

Das ist der SuperGAU für deine Kiste: Rootkit, Backdoor, Dropper usw.

Alles andere als ein Neuinstallation von Windows kommt hier nicht mal ansatzweise in Frage. Nach eigener Aussage kennst du dich damit nicht aus und möchtest das unbedingt vermeiden, trotzdem kann man dir guten Gewissens keinen anderen Tipp geben.

- Kiste plattmachen
- System neu
- Alle Passwörter ändern
- Von alten Datenbeständen so gut es geht trennen (ausgenommen Bilder, Musik usw., keine Programme).
- die eigene Absicherungsstrategie überdenken. Btw. trete ich jetzt hier nicht breit, wo bzw. wie man sich TDSS in der Regel installiert.
 
Ich rate normalerweise auch nicht unbedingt zur Neuinstallation, aber hier ist das genau die richtige Maßnahme. Dateien sichern, CD rein, Festplatte formatieren, Windows neu drauf. Und du kannst mir glauben, das dich das im Endeffekt nicht mehr Zeit kostet, als es manuell zu versuchen.

Das einzige, was du noch versuchen könntest, wäre eine Knoppix-Boot-CD mit der Virenscanner-Edition. Gint es meines Wissens bei Heise.de zum runterladen. Brennen, davon neustarten und scannen lassen. Möglicherweise wäre das einen Versuch wert.

Der neuerliche Scan war entgegen meiner Aussage nicht sinnlos.
Zum Vergrößern anklicken....
Ich hatte sowas befürchtet. Wenn der Scanner einen der Trojaner nicht findet, findet man mit einem neuerlichen Scan aber meist irgendwelche neu reingekommenen.
 
Danke für eure Antworten!!


Ich habe mittlerweile begriffen, dass es wohl wirklich das beste ist, den Rechner ganz neu aufzusetzen. Das größte Problem ist für mich, dass ich (wegen Umzug, Abschlussarbeit usw) erst in zwei Monaten wieder ansatzweise Zeit finden werde.

Soweit das überhaupt möglich ist: Könnt ihr ungefähr abschätzen, wie gravierend das sein könnte, wenn man noch zwei Monate damit wartet?
Auf der einen Seite denke ich, könnte mit einem Virus ja alles mögliche passieren, andererseits läuft der Rechner so bereits ungefähr zwei Jahre, also kann ich mir das nur schwer vorstellen...
Ich denke mal, dass ihr bei sowas bedeutend mehr Erfahrung habt um das einzuschätzen, also: was meint ihr?
 
Soweit das überhaupt möglich ist: Könnt ihr ungefähr abschätzen, wie gravierend das sein könnte, wenn man noch zwei Monate damit wartet?
Zum Vergrößern anklicken....
Nun, es bleibt dir überlassen, ob du mit Sachen wie Beihilfe zum Betrug, Spamversand, Verteilung neuer Schädlinge, Infizierung anderer Rechner, Bekanntheit deiner Passwörter/Zugangsdaten usw. usf, zwei Monate leben kannst. Ich hoffe für dich, dass du auf der Kiste kein Homebanking oder Onlineeinkäufe betreibst.
andererseits läuft der Rechner so bereits ungefähr zwei Jahre, also kann ich mir das nur schwer vorstellen...
Zum Vergrößern anklicken....
Äh Moment...der Rechner befindet sich wissentlich seit zwei Jahren in diesem Zustand?
 
Nein, kein Homebanking, Ebay, Amazon oder dergleichen...

Und nein, der Rechner existiert halt seit zwei Jahren, keine Ahnung wie lange die Viren schon drauf sind. Das Problem aus dem Startpost ist zwei Tage älter wie der Thread hier, aber das sagt jetzt ja auch net direkt aus, wie lange der Virus hier schon drauf ist. Aber mit "wissentlich" is da mal defintiv nichts, ok? ;)
 
Wetterfrosch87 schrieb:
Danke für eure Antworten!!

nimm sie dann auch ernst :D

Ich habe mittlerweile begriffen, dass es wohl wirklich das beste ist,
den Rechner ganz neu aufzusetzen.

100% zustimmend

Das größte Problem ist für mich, dass ich (wegen Umzug, Abschlussarbeit usw)
erst in zwei Monaten wieder ansatzweise Zeit finden werde.

egal, besorge dir eine Live-CD, boote von der aus und
surfe/arbeite damit weiter, lass dein rechner während der zeit so, wie er
ist, ist jetzt die billigste und einfachste variante!

Soweit das überhaupt möglich ist: Könnt ihr ungefähr abschätzen, wie
gravierend das sein könnte, wenn man noch zwei Monate damit wartet?

wie meine vorposter schon sagten, kann es nur NOCH schlimmer
werden, LASS DAS SEIN!! :no: :read:
Zum Vergrößern anklicken....


im allgemeinen: so ein virus kann doch nicht die welt sein, falls es aber nicht
hinbekommst, besorge dir wie schon einige sagten eine Linux CD mit der du
den rechner starten kannst und arbeite damit erstmal weiter, alle viren sind
währenddessen erstmal inaktiv...

kopiere dir dann deine ganzen dateien auf eine 2. festplatte, dann bist
du auf das gefährdete system nicht mehr angewiesen und sobald die
zeit da ist, mach alles platt!


eine andere lösung gibt es dafür nicht!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben