[Windows XP-64 bit] Trojaner !!!

[Horsty]

Hallo


folg. Troj. wird bei meinem anderen Benutzer , aber auf unserem gemeinsamen PC angezeigt

TR/Kazy.17118.96


wie werd ich das Dingen los ????


Lasse gerade bitdefender über meinen Benutzer durchlaufen !!


Gruß Horst

[Horsty]

zeigt gerade dieses an :


No viruses were found on your computer
0 analized, 0 threat(s) found, 0 threats eliminated


wie kann das sein ???

Kann sich ein Troj. auch nur bei einem Benutzer einschleichen ??, obwohl es auch nur 1 gemeinsamer PC ist ???


hm ????


Horst

[Horsty]

habe gerade beim anderen Benutzer versucht den Scan durchzu führen, geht irgendwie nicht !!

jetzt zeigt er auch wieder ganz andere gefundene Viren/Troj. an , also mit anderer bezeichnung

Hilfeeee

ich will die Dinger loswerden !!


Horst

[Der Leo]

Hallo,

bitte bewahre Ruhe und handle nicht auf eigene Faust!

Zitat:

habe gerade beim anderen Benutzer versucht den Scan durchzu führen, geht irgendwie nicht !!

Ist dort ebendfalls Bitdefender Installiert? Was heißt den "geht irgendwie nicht"?

[Horsty]

Hallo nochmals

lasse gerade beim anderen Benutzer Panda Active scan durchführen, hat auch schon den 1. gecatcht

was mache ich damit...... ???

Löschen ?? Zugriff verweigern ???

da stehen ja so einige Auswahlmöglichkeiten

Gruß Horst

[Der Leo]

1. Beantworte bitte meine fragen.
2. Kann ich mit sowas nichts anfangen:

Zitat:

asse gerade beim anderen Benutzer Panda Active scan durchführen, hat auch schon den 1. gecatcht

Was wurde wo gefunden? Kannst du einen Report posten?

Wir machen das ganze jetzt anders.

Schritt 1

Beantworte meine fragen von meine vorherigen Post und dem aktuellen.

Schritt 2
Beende den Panda Scan. Alle weiteren Schritte werden auf den Infizierten Konto ausgeführt!

Schritt 3
Malwarebytes Anti-Malware
Download (Free Version): Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

• Installiere das Programm in den vorgegebenen Pfad.
• Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
• Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
• Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
• Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
• Falls ein Neustart verlangt wird so bitte umgehend nachkommen.
• Es wird ein Logfile erstellt.
• Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

[Horsty]

das dauert ja ........................................


21 infizierte Objekte hat er schon, will hoffen das er gleich fertisch iss


Horst

[Horsty]

soooooooooooooooo

Logfile wurde erstellt, habe neustarten müssen,

nur ich finde den Bericht nicht wieder !!

unter Log- Dateien ???

sorry bin nicht so´n Profi


Horst

[Der Leo]

Du öffnest Malwarebytes. Dann siehst du oben verschiedene Kategorien (Suchlauf, Schutz, Aktualisierung). Wähle dort Logdateien aus. Doppelklick auf den mbam-log-2011-Datum-(Zeit).txt

[Horsty]

Moin


also viel erkennen kann man da glaube ich nicht......, oder ???


22:12:33 MESSAGE Protection started successfully
22:12:40 MESSAGE IP Protection started successfully
22:18:42 DETECTION C:\WINDOWS\SYSTEM32\ACROIEHELPE035.DLL Trojan.Banker QUARANTINE
22:18:43 ERROR Quarantine failed: DeleteFile failed with error code 5
22:18:46 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
22:18:46 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
22:43:27 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
22:43:27 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
22:43:27 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
22:43:27 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
22:43:37 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
22:43:37 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
22:49:10 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
22:49:10 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
23:07:37 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
23:07:37 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
23:07:37 DETECTION C:\WINDOWS\system32\AcroIEHelpe035.dll Trojan.Banker DENY
23:53:10 MESSAGE Protection started successfully
23:53:16 MESSAGE IP Protection started successfully


mehr stand dort nicht !!!

Horst

[Der Leo]

Hallo,

ist das das Log von Panda? Ich brauch unbedingt das Log von Malwarebytes.

[Horsty]

Hallo

ich habs glaube ich gefunden !!

kanns aber irgendwie nicht abspeichern, also habe ich es direkt mal kopiert, wenn was erscheint, was nicht gut ist, dann halt löschen !! Danke !!

Irgenwie ist auch die ganze Schrift und alles zur Zeit soo groß !!
Habe gar nix verstellt !!

so hier:

Malwarebytes' Anti-Malware 1.51.0.1200
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6904

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.06.2011 23:49:55
mbam-log-2011-06-20 (23-49-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 341319
Laufzeit: 1 Stunde(n), 34 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\acroiehelpe035.dll (Trojan.Banker) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C689C9 9E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UWUB9FXD4I5W7H6B RZVAASAZKJZCH (Trojan.Agent) -> Value: UWUB9FXD4I5W7H6BRZVAASAZKJZCH -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\acroiehelpe035.dll (Trojan.Banker) -> Delete on reboot.
c:\dokumente und einstellungen\Andrea\anwendungsdaten\ad on multimedia\ebay shortcuts\ebayshortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\anwendungsdaten\265406\pdmn2.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temp\0.1939541486637001.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temp\0.5213087720253233.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temp\0.5842319906409226.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temp\jar_cache1243580425996546917.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temp\jar_cache6265825525096847192.tmp (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temp\jar_cache7831582247089280931.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temp\jar_cache8686105752605974741.tmp (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temporary internet files\Content.IE5\189940NP\freesystemscan[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temporary internet files\Content.IE5\189940NP\freesystemscan[2].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5c4a6638-81e8-45f6-b2d8-17a7216f9538}\RP398\A0126277.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5c4a6638-81e8-45f6-b2d8-17a7216f9538}\RP414\A0127722.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Elmar\lokale einstellungen\temp\0.4553856624450644.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\okdfuhsduyv\okdfuhsduyv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.


Hoffe das Hilft !!
Gruß Horst

[Der Leo]

Ja danke das ist genau richtig

Wird von diesem Pc aus Online Banking oder andere Online Geschäfte gemacht?

[Horsty]

ja



oje............................................ wieso ??????


Horst

[Der Leo]

Dann ruf sofort deine Bank an und lass das Online Banking sperren! Sag den das du miz einem Trojaner infiziert bist. Auch genannt Spyeye. Danach werden wir den Pc formatieren.