Hallo,
zunächst eine Logdatei, nach einem Scan bei einem Bekannten:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.05.25.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Grieger :: PC2 [Administrator]
25.05.2012 11:13:53
mbam-log-2012-05-25 (11-13-53).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 327886
Laufzeit: 1 Stunde(n), 26 Minute(n), 3 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 8
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\WinAntispyware2008 (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinAntispyware2008 (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Registrierungswerte: 4
HKCU\Control Panel\don't load|scui.cpl (Hijack.SecurityCenter) -> Daten: No -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Control Panel\don't load|wscui.cpl (Hijack.SecurityCenter) -> Daten: No -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|braviax (Trojan.Downloader) -> Daten: C:\WINDOWS\system32\braviax.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.Userinit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,) Gut: (Userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
Infizierte Verzeichnisse: 7
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\WinAntispyware2008 (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\WinAntispyware2008\data (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\WinAntispyware2008\Microsoft.VC80.CRT (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Grieger\Startmenü\Programme\WinAntispyware2008 (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateien: 15
C:\Programme\WinAntispyware2008\htmlayout.dll (Spyware.OnlineGames) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Grieger\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\WinAntispyware2008.lnk (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Grieger\Lokale Einstellungen\Temp\oprXoCeS.xls.part (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64\sysproc32.sys (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64\sysproc32.sys (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\WinAntispyware2008\comp.dat (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\WinAntispyware2008\pthreadVC2.dll (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\WinAntispyware2008\WinAntispyware2008.cfg (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\WinAntispyware2008\data\daily.cvd (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Grieger\Startmenü\Programme\WinAntispyware2008\Uninstall.lnk (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Grieger\Startmenü\Programme\WinAntispyware2008\WinAntispyware2008.lnk (Rogue.WinAntiSpyware) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\sysproc64\sysproc32.sys.cla (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
Alles wurde erfolgreich gelöscht oder ersetzt und in Quarantäne gestellt.
Nun kann ich leider nicht erkennen, ob das alles bösartig war und es richtig ist, alle Positionen sofort aus der Quarantäne zu löschen, oder ob es sinnvoll ist, damit zunächst abzuwarten. Ich kann die angezeigten Funde leider nicht zuordnen - kann mir jemand dazu etwas sagen?
Der anschließend gelaufene Scan hat keine Funde mehr erbracht, dass dieser PC nun absolut sauber ist, möchte ich aber bezweifeln. Online-Banking würde ich damit nicht machen.
Gruß
Bosco
Bosco Gast |
- sehe ich genauso.
