HILFE !!! HEUR/Malware und drei Trojaner
Von: Icemannhub am 19.04.2007 Hallo ! Nachdem mich meine Bank angerufen hat und mir mitteilte, dass ich Trojaner auf dem System habe, hat mein AnriVir drei Trojaner gefunden. TR/Dldr.Nurech.BG TR/Drop.iBill.V TR/Spy.BZub.IQ.1 und drei mal die Meldung "HEUR/Malware" gefunden. Die Trojaner konnte ich löschen, aber die Heur/Malware nur in ignorieren oder in Quarantäne stellen. Wie bekomme ich diese nun gelöscht Ich habe die Befürchtung, dass sich dahinter der Trojaner wieder regeneriert. Habe aber von so was keine Ahnung. Bitte um Hilfe... AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 19. April 2007  12:14 Es wird nach 744063 Virenstämmen gesucht. Lizenznehmer:     Avira AntiVir PersonalEdition Classic Seriennummer:     0000149996-ADJIE-0001 Plattform:        Windows XP Windowsversion:   (Service Pack 2)  [5.1.2600] Benutzername:     sven Computername:     BEN-1D03C76A9AE Versionsinformationen: BUILD.DAT    : 244           14437 Bytes  16.04.2007 16:03:00 AVSCAN.EXE   : 7.0.4.13     282664 Bytes  19.04.2007 10:06:35 AVSCAN.DLL   : 7.0.4.0       41000 Bytes  19.04.2007 10:06:35 LUKE.DLL     : 7.0.4.11     143400 Bytes  19.04.2007 10:06:35 LUKERES.DLL  : 7.0.4.0       10792 Bytes  19.04.2007 10:06:35 ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  31.05.2006 07:15:44 ANTIVIR1.VDF : 6.37.1.151  4303360 Bytes  23.02.2007 10:06:36 ANTIVIR2.VDF : 6.38.1.1     798720 Bytes  17.04.2007 10:06:36 ANTIVIR3.VDF : 6.38.1.10     30720 Bytes  19.04.2007 10:06:36 AVEWIN32.DLL : 7.4.0.14    2404864 Bytes  19.04.2007 10:06:39 AVWINLL.DLL  : 1.0.0.7       14376 Bytes  19.04.2007 10:06:35 AVPREF.DLL   : 7.0.2.1       24616 Bytes  19.04.2007 10:06:35 AVREP.DLL    : 7.0.0.1      155688 Bytes  19.04.2007 10:06:37 AVPACK32.DLL : 7.3.0.8      360488 Bytes  19.04.2007 10:06:39 AVREG.DLL    : 7.0.1.2       31784 Bytes  19.04.2007 10:06:35 AVEVTLOG.DLL : 7.0.0.18      86056 Bytes  19.04.2007 10:06:35 AVARKT.DLL   : 1.0.0.12     274472 Bytes  19.04.2007 10:06:34 NETNT.DLL    : 7.0.0.0        7720 Bytes  19.04.2007 10:06:35 RCIMAGE.DLL  : 7.0.1.15    2228264 Bytes  19.04.2007 10:06:15 RCTEXT.DLL   : 7.0.45.0      86056 Bytes  19.04.2007 10:06:15 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: D:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Donnerstag, 19. April 2007  12:14 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Arcor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'setup.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Power2GoExpress.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iisca.exe' - '1' Modul(e) wurden durchsucht   Modul ist infiziert -> 'C:\WINDOWS\system32\iisca.exe' Durchsuche Prozess 'realplay.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mmtask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'E_FATI9BE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AOLDial.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mm_tray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PCMService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Prozess 'iisca.exe' wird beendet C:\WINDOWS\system32\iisca.exe       [FUND]      Ist das Trojanische Pferd TR/Dldr.Nurech.BG       [INFO]      Die Datei wurde gelöscht. Es wurden '48' Prozesse mit '47' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\'       [HINWEIS]   Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '35' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys       [WARNUNG]   Die Datei konnte nicht geöffnet werden! C:\pagefile.sys       [WARNUNG]   Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\sven\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für 30695[1].zip\Dokument.doc.exe       [FUND]      Ist das Trojanische Pferd TR/Dldr.Nurech.BG       [INFO]      Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\sven\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E8K1D7B1\3[1].exe       [FUND]      Enthält verdächtigen Code: HEUR/Malware       [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '465842e3.qua' verschoben! C:\WINDOWS\4.exe       [FUND]      Ist das Trojanische Pferd TR/Drop.iBill.V       [INFO]      Die Datei wurde gelöscht. C:\WINDOWS\system32\3.exe       [FUND]      Enthält verdächtigen Code: HEUR/Malware       [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '468c4877.qua' verschoben! C:\WINDOWS\system32\ipv6monk.dll       [FUND]      Enthält verdächtigen Code: HEUR/Malware       [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '469d48e4.qua' verschoben! C:\WINDOWS\system32\ipv6monl.dll       [FUND]      Ist das Trojanische Pferd TR/Spy.BZub.IQ.1       [INFO]      Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <Arcor_AO50> Ende des Suchlaufs: Donnerstag, 19. April 2007  12:57 Benötigte Zeit: 43:12 min Der Suchlauf wurde vollständig durchgeführt.    5907 Verzeichnisse wurden überprüft  190805 Dateien wurden geprüft       8 Viren bzw. unerwünschte Programme wurden gefunden       3 davon wurden als verdächtig eingestuft       4 Dateien wurden gelöscht       0 Viren bzw. unerwünschte Programme wurden repariert       3 Dateien wurden in die Quarantäne verschoben       0 Dateien wurden umbenannt       2 Dateien konnten nicht durchsucht werden  190794 Dateien ohne Befall    1005 Archive wurden durchsucht       2 Warnungen       7 Hinweise       0 Versteckte Objekte wurden gefunden
Antwort 1 von HCK ***** am 19.04.2007 Scanne nochmal im abges. Modus ... ggf vorher Systemwiederherst. Deaktivieren (Achtung , alle Punkte sind dann weg)
Antwort 2 von Sir Mannor am 19.04.2007 Wenn dich schon die Bank angerufen hat          dann setz dein System neu auf , da ist es einfach zu gefährlich...
« zurück	Antworten