Trojaner auf OTR oder einem Mirror

[tulamidan]

Ich habe mir heute morgen einen Trojaner von OTR oder einem Mirror eingefangen.

Um ca. 8:04 habe ich die Downloadseiten von House und Monk aufgemacht (backgroundtab) als ich komische Meldungen von der JavaVM bekam. Sie ist 2-3 mal abgestuerzt (obwohl gar kein Java-Programm lief)
Dann startete ich die Downloads bei otvr.de, und bei privatotrmirror.de. Kurz darauf forderte mich Windows(7) auf die Installation von einem Programm zu bestaetigen. Das Zertifikat war auf einen Windows Hardware Service ausgestellt und gueltig. Ich habs trotzdem nicht installiert (ging nur durch einen reboot) und die entsprechende Datei spaeter mit Muehe (chkdsk und Ubuntu) geloescht.

Warscheinlich ist die Datei von einem Werbebanner gekommen. Ihr solltet das mal checken.

[kawiay]

Ich hatte die zweifelhafte Ehre, mir einen Trojaner eingefangen zu haben, bereits am 20.04.2010, kurz nach 0.00. Ja, wärend dieser Zeit habe ich bei OTR Banner geklickt, darum kann ich davon ausgehen, das der Verursacher eine Bannerwerbung war. Auch ich habe Win7, scheinbar ist das immer noch nicht so oft vertreten, sonst würden sich bestimmt mehr User melden.

Kann mir vielleicht jemand erklären, seit wann eine Bannerwerbung von sich aus mit der Flashseite kommunizieren will und ein Sponsorenbanner es dringend nötigt hat, auf Java zugreifen zu müssen?

Liebe Chef-OTR-ler, es wäre sehr nett, wenn ihr den Verursachern und Einbringern von Schadsoftware ordentlich den Marsch blast. Auch ist es sehr freundlich wenn ihr darauf hinweist, das man verdächtige Banner melden kann, dumm aber ist dann, wenn der Banner in der Zeit sein Klickziel erreicht hat und aus der Liste fliegt?

[MCMUPPET]

Ahoi!

Um welches Banner handelt es sich und um welchen Trojaner?

mfg mcmuppet

[kawiay]

Ich hab das einfach mal aus dem Report des Avira rausgezogen:

[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen

Zu dem Banner kann ich nichts genaueres sagen, ausser das es meiner Meinung nach am 20.04. einer der 0.4 Banner war, der war vorher noch nie da und seit diesem Tag auch nicht mehr .. ich weiss, gross helfen tut dies auch nicht weiter, aber .. der Banner war so schnell aus der Ansicht raus, so das melden schon gleich gar nicht möglich war.

[MCMUPPET]

Welche Aviraversion benutzt Du? Definitionsupdate auf dem neusten Stand?

mfg mcmuppet

[Esmaralda]

Hallo,
ich habe auch dieses Problem und kriege den Trojaner bisher nicht los.
Ich bin mir sehr sicher, dass ich ihn mir durch einen Download von otr-speed.com eingefangen habe!!
Die Datei war viel zu klein, weshalb ich misstrauisch wurde und sie sofort löschte, aber direkt danach ging der ganze Mist los. Ich habe sonst nichts heruntergeladen und auch keine anderen Seiten besucht. Es war am vormittags am 21.04.

[Raus]

@Esmaralda

Die von dir im Profil angegebene OTR-ID gibt es nicht. Bitte korrigieren.

[kawiay]

Avira 10 .. immer das neuste Update, gerade eben wieder ein neues gezogen. Laut ccleaner und malwarebytes ist das System wieder sauber (Avira nach auch). Bei mir kann ich seltsame oder dubiose Seiten ausschliessen, da das downloaden und den Rest .. den übernimmt mein Freund und das kriminellste was ich sonst so besuche ist ebay.

[Esmaralda]

@Raus

Erledigt.

[kawiay]

So ich hab auch noch mal alles zusammen gekramt:


Also verwendet wird Win7, FF 3.6.3
Meldung kam wie schon erwähnt am 20.04.20010

Es handelte sich um einen Sponsorenbanner, dieser Banner war noch bis vor ca. 1-2 Tagen aktiv, zuletzt stand da was von Movieload oder Moviedownload und MP3. Als ich diesen Banner melden wollte, setzte ein Reload der Website ein und ich landete auf der Startseite von OTR. Eine genauere Beschreibung des Banners ist nicht möglich, da ich es nicht zuliess, das er noch ein einzigstes mal auf Java zugreifen konnte und somit nur der Schriftzug des Banners und das noch nicht einmal komplett dargestellt wurde.

**************************

Code:

Erster Suchlauf von Avira:

Produktversion 10.0.0.567 19.04.2010
Suchengine 8.02.01.224 21.04.2010
Virendefinitionsdatei 7.10.07.16 30.04.2010
Control Center 10.00.12.28 22.02.2010
Config Center 10.00.13.15 19.04.2010
Luke Filewalker 10.00.03.00 19.04.2010
AntiVir Guard 10.00.01.44 19.04.2010
Filter 10.00.02.02 16.02.2010
Planer 10.00.00.17 24.02.2010
Updater 10.00.00.29 19.04.2010



Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:ProgramDataAviraAntiVir DesktopTEMPAVGUARD_4bed5aa5guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 20. April 2010  00:15
Die Reparatur von Rootkits ist nur im interaktiven Modus möglich!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Zxl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ws6e.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Zxk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WerFault.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ws6e.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wgvyd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BNE635.tmp' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:Users...AppDataLocalTempBNE635.tmp>
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.J.1752
Durchsuche Prozess 'eosy22k2sr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BNE632.tmp' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:Users...AppDataLocalTempBNE632.tmp>
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rscomaewnx.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:Users...AppDataLocalTemp
scomaewnx.exe>
    [FUND]      Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
Durchsuche Prozess 'mshta.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSwMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KeNotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOPI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:Users...AppDataLocalTemp
scomaewnx.exe'
C:Users...AppDataLocalTemp
scomaewnx.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
    [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!


Ende des Suchlaufs: Dienstag, 20. April 2010  00:15
Benötigte Zeit: 00:16 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     32 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     28 Dateien ohne Befall
      0 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

*************************************************

Code:

Zweiter Suchlauf von Avira:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 20. April 2010  00:15

Es wird nach 2012714 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000 geht niemanden was an
Plattform      : Windows 7 x64
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : tut nix zu Sache 

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WerFault.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Zxl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ws6e.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Zxk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ws6e.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BNE635.tmp' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:Users...AppDataLocalTempBNE635.tmp>
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.J.1752
Durchsuche Prozess 'eosy22k2sr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BNE632.tmp' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:Users...AppDataLocalTempBNE632.tmp>
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rscomaewnx.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:Users...AppDataLocalTemp
scomaewnx.exe>
    [FUND]      Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
Durchsuche Prozess 'mshta.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSwMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KeNotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOPI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:Users...AppDataLocalTempsnocxraewm.exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTempsnocxraewm.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataLocalTempBNE632.tmp'
C:Users...AppDataLocalTempBNE632.tmp
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Catched Exception in function <SCAN_Search> - Object <C:Users...AppDataLocalTempBNE632.tmp>
ACCESS_VIOLATION
  EAX = 000000FF  EBX = 00000000
  ECX = 01D6EED8  EDX = 00000000
  ESI = 01D6EED8  EDI = 00000100 
  EIP = 749AF7C9  EBP = 045EE980
  ESP = 045EE948  Flg = 00010206
  CS = 0000002B   SS = 00000023
Beginne mit der Suche in 'C:Users..AppDataLocalTempimiyus.exe'
C:Users...AppDataLocalTempimiyus.exe
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50d558eb.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTemp	yysqcc.exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTemp	yysqcc.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataLocalTempjanfw.exe'
C:Users...AppDataLocalTempjanfw.exe
  [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
--> Object
  [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0285021f.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempBNE635.tmp'
C:Users...AppDataLocalTempBNE635.tmp
    [FUND]      Ist das Trojanische Pferd TR/PCK.Katusha.J.1752
    [WARNUNG]   Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OHOE1CIYimwaic[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OHOE1CIYimwaic[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Dropper.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e545269.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAfjnvpk[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAfjnvpk[1].htm
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12957ede.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempieyih.exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTempieyih.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDRgnemtrzxsn[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDRgnemtrzxsn[1].htm
  [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
--> Object
  [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6e863e72.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempkhvcol.exe'
C:Users...AppDataLocalTempkhvcol.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43af11c5.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDR
vqxfn[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDR
vqxfn[1].htm
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ab82aad.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempgmfrxpgv.exe'
C:Users...AppDataLocalTempgmfrxpgv.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '36eb0694.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAfwevpovto[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAfwevpovto[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47513f0b.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAgnemtrzxsn[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAgnemtrzxsn[1].htm
  [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
--> Object
  [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b0fc7.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5HB0BHQ5Dhypwhc[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5HB0BHQ5Dhypwhc[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c6f7688.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDRhypwhc[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDRhypwhc[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05647223.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempmrscnwaeox.exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTempmrscnwaeox.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataLocalTempmosacnxwre.exe'
C:Users...AppDataLocalTempmosacnxwre.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.CFI.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d266b45.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTemp	yysqcc .exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTemp	yysqcc .exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataRoaming96F6B67B984C490515E25EDC74A4F626
ewupdate1142C.exe'
C:Users...AppDataRoaming96F6B67B984C490515E25EDC74A4F626
ewupdate1142C.exe
    [FUND]      Ist das Trojanische Pferd TR/FakeYak.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '71ae1273.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OHOE1CIY
ewupdate1142C[1].exe'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OHOE1CIY
ewupdate1142C[1].exe
    [FUND]      Ist das Trojanische Pferd TR/FakeYak.A
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f5072a9.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempiexplore.exe'
C:Users...AppDataLocalTempiexplore.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2c5959da.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTemp709976,971149445.exe'
C:Users...AppDataLocalTemp709976,971149445.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0ad019fa.qua' verschoben!

**********************************************

Code:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4012

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20.04.2010 17:48:25
mbam-log-2010-04-20 (17-48-25).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 104285
Laufzeit: 2 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USERSoftwareYVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftHandle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREQZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerwinid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich hoffe das reicht fürs zweite ..

P.s. Die Software unserer Fritzbox listet auf, welche Kuriosistäten am Tag so auflaufen und woher sie kommen, so war am 28.04.20010 um 0.07 Uhr der angebliche Urheber der Java Abfrage und fast Reaktivierung die Seite sxsxa.net und am 01.05.2010 um 0.09 Uhr die Seite xoesa.net