![]() |
|
Log-Analyse und Auswertung: Trojaner fake alertWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() Trojaner fake alert Hallo M-K-D-B, das ist der Rechner vom ehemaligen Kollegen, der hatte im grafischen Bereich etwas gemacht. Woher er die Software hat, weiß ich nicht (es ist aber eine CS4 Lizenz vorhanden) ![]() [code] GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-08-04 10:03:18 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HD753LJ rev.1AA01113 Running: gmer.exe; Driver: C:\DOKUME~1\User\LOKALE~1\Temp\pxldrpow.sys ---- System - GMER 1.0.15 ---- SSDT \??\C:\Programme\Enigma Software Group\SpyHunter\esgiguard.sys ZwCreateSection [0xB861C700] ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB742E380, 0x550AF5, 0xE8000020] init C:\WINDOWS\system32\drivers\mmrtkrnl.sys entry point in "init" section [0xB8240CA0] init C:\WINDOWS\System32\atkosdmini.dll entry point in "init" section [0xBD04E480] ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1936] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 0049F8A0 C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe .text C:\WINDOWS\system32\SearchIndexer.exe[3528] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation) ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINDOWS\Explorer.EXE[612] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01592F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[612] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01592C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[612] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [01592CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[612] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01592CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.) ---- Devices - GMER 1.0.15 ---- Device Fastfat.sys (Fast FAT File System Driver/Microsoft Corporation) Device rdpdr.sys (Microsoft RDP Device redirector/Microsoft Corporation) Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher@TracesProcessed 226 ---- EOF - GMER 1.0.15 ---- Vielen Dank. Gruß Frank |
![]() | #2 | |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Trojaner fake alert Hallo Frank,
__________________Zitat:
Das gleiche gilt für SpyHunter. Du verwendest bereits Microsoft Security Essentials. Zudem ist Spyhunter eine mehr als zweifelhafte Software. So gehts weiter: Schritt # 1: Deinstallation von Programmen
Schritt # 2: Registry Cleaner Ich sehe, dass Du sogenannte Registry Cleaner am System hast. In deinem Fall TuneUp Utilities. Wir empfehlen auf keinen Fall jegliche Art von Registry Cleaner. Der Grund ist ganz einfach: Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.
Zerstörst Du die Registry, zerstörst Du Windows. Ich empfehle Dir hiermit die oben genannte Software zu deinstallieren und in Zukunft auf solche Art von Software zu verzichten. Schritt # 3: Unhide ausführen Downloade dir bitte unhide.exe (by Grinler) und speichere die Datei auf deinem Desktop.
Schritt # 4: ComboFix ausführen Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
![]() Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: ![]() Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. Schritt # 5: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
![]() | #3 |
![]() | ![]() Trojaner fake alert Hallo M-K-D-B,
__________________so, ich habe als erstes folgende Software deinstalliert: -SpyHunter -Adobe CS4 -Tuneup Utilities (dachte immer es wäre positiv für den Rechner ![]() Nachdem ich das Programm Unhide habe laufen lassen und den Rechner neu gestartet hatte, waren alle Unterordner und Dateien wieder vorhanden. ![]() ![]() [code] Combofix Logfile: Code:
ATTFilter ComboFix 11-08-05.01 - User 05.08.2011 11:54:05.1.2 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2467 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095} * Neuer Wiederherstellungspunkt wurde erstellt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\Administrator\WINDOWS c:\dokumente und einstellungen\User\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\System Repair.lnk c:\dokumente und einstellungen\User\Desktop\System Repair.lnk c:\dokumente und einstellungen\User\WINDOWS c:\windows\IsUn0407.exe c:\windows\TEMP\logishrd\LVPrcInj01.dll c:\windows\unin0407.exe . . ((((((((((((((((((((((( Dateien erstellt von 2011-07-05 bis 2011-08-05 )))))))))))))))))))))))))))))) . . 2011-08-05 09:47 . 2011-08-05 09:48 28752 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E72B40BA-AC8F-423C-A226-8BEF61BCFAF6}\MpKsla0b96af6.sys 2011-08-05 08:59 . 2011-07-13 03:39 6881616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E72B40BA-AC8F-423C-A226-8BEF61BCFAF6}\mpengine.dll 2011-08-03 10:45 . 2011-08-03 10:40 50477 ----a-w- C:\Defogger.exe 2011-08-03 10:23 . 2011-08-02 12:21 579584 ----a-w- C:\OTL.exe 2011-08-03 10:23 . 2011-08-03 10:23 -------- d-----w- C:\VFAT32 (C) 2011-08-02 13:31 . 2011-08-02 13:31 -------- d-----w- C:\sh4ldr 2011-08-02 13:31 . 2011-08-02 13:31 -------- d-----w- c:\programme\Enigma Software Group 2011-08-02 13:30 . 2011-08-02 13:30 -------- d-----w- c:\windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP 2011-08-02 13:30 . 2011-08-02 13:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2011-08-02 13:29 . 2011-08-02 13:29 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Windows Search 2011-08-02 12:25 . 2011-08-02 12:25 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes 2011-08-02 12:25 . 2011-08-02 12:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2011-08-02 12:25 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-08-02 12:25 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-08-02 12:25 . 2011-08-02 12:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2011-07-27 13:20 . 2011-07-27 13:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead 2011-07-25 13:35 . 2011-07-25 13:35 -------- d-----w- C:\Work 2011-07-20 08:01 . 2011-07-20 08:01 -------- d-----w- C:\Sperrlisten 2011-07-19 13:11 . 2011-07-19 13:11 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer 2011-07-19 13:09 . 2011-07-19 13:09 -------- d-----w- c:\programme\iPod 2011-07-19 13:09 . 2011-07-19 13:09 -------- d-----w- c:\programme\iTunes 2011-07-19 13:09 . 2011-07-19 13:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} 2011-07-19 13:09 . 2011-07-19 13:09 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer 2011-07-19 13:07 . 2011-07-19 13:07 -------- d-----w- c:\programme\Apple Software Update 2011-07-19 13:05 . 2011-07-19 13:05 -------- d-----w- c:\programme\Bonjour 2011-07-07 08:48 . 2011-07-07 08:48 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Fujitsu 2011-07-07 07:37 . 2011-07-07 07:37 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\InstallShield 2011-07-07 07:35 . 2011-07-07 07:35 -------- d-----w- C:\Software . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-08-03 10:38 . 2011-08-03 10:45 294216 ----a-w- C:\gmer.zip 2011-07-13 03:39 . 2011-07-06 08:42 6881616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll 2011-06-20 06:57 . 2011-07-04 11:51 7074640 ------w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\{94A0E6BD-F011-43B8-818B-0107D7AE5044}\mpengine.dll 2011-06-06 11:35 . 2006-02-28 10:00 1859072 ----a-w- c:\windows\system32\win32k.sys 2011-05-24 17:14 . 2009-10-02 23:52 222080 ------w- c:\windows\system32\MpSigStub.exe 2011-05-10 06:06 . 2009-03-23 11:25 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll 2011-05-10 06:06 . 2009-03-04 07:37 42496 ----a-w- c:\windows\system32\drivers\usbaapl.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-16 39408] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-20 1211176] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304] "RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408] "HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840] "MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2011-06-15 997920] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-06-07 421160] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664] "Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096] . c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ Telefon- und Branchenbuch Herbst 2007 - Schnellstarter.lnk - c:\programme\klickTel\Telefon- und Branchenbuch Herbst 2007\KSTART32.EXE [2009-2-5 4460032] . c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360] GlobeTrotter Connect.lnk - c:\programme\Option\GlobeTrotter Connect\GlobeTrotter Connect.exe [2008-9-8 4569600] . [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2008-05-02 00:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc] @="Service" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=c:\windows\pss\BTTray.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan.lnk backup=c:\windows\pss\McAfee Security Scan.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanSnap Manager.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanSnap Manager.lnk backup=c:\windows\pss\ScanSnap Manager.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GEST] m’|\ü [X] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier] 2009-08-13 13:51 177440 ----a-w- c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CardMinder] 2004-11-12 16:33 36864 ----a-w- c:\programme\PFU\ScanSnap\CardMinder V2.0\CardLauncher.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2011-06-07 15:51 421160 ----a-w- c:\programme\iTunes\iTunesHelper.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel] 2008-02-26 12:08 2289664 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon] 2008-12-20 05:50 2656528 ----a-w- c:\programme\Logitech\QuickCam\Quickcam.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] 2009-02-06 16:51 3885408 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2008-05-28 06:27 570664 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray] 2009-06-25 13:12 1414144 ----a-w- c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pdfquickview] 2003-12-22 15:14 32768 ----a-w- c:\programme\PFU\ScanSnap\PDF Thumbnail View\pdfquickview.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PfuSsSct.exe] 2003-12-22 08:06 110592 ----a-w- c:\programme\PFU\ScanSnap\PfuSsSct.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-11-29 15:38 421888 ----a-w- c:\programme\QuickTime\QTTask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2009-03-16 07:00 39408 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Adobe Version Cue CS4"=3 (0x3) "AcrSch2Svc"=2 (0x2) "NVSvc"=2 (0x2) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Tobit ClipInc\\Server\\ClipInc-Server.exe"= "c:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\\WINDOWS\\System32\\msiexec.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\HP\\Digital Imaging\\BIN\\hpfcCopy.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "c:\\Programme\\HP\\Digital Imaging\\BIN\\hpiscnapp.exe"= "c:\\Programme\\HP\\Digital Imaging\\BIN\\hpofxs08.exe"= "c:\\Programme\\HP\\Digital Imaging\\BIN\\hpqfxt08.exe"= "c:\\Programme\\HP\\Digital Imaging\\BIN\\hpqgplgtupl.exe"= "c:\\Programme\\HP\\Digital Imaging\\BIN\\hpqgpc01.exe"= "c:\\Programme\\HP\\Digital Imaging\\BIN\\hpqusgm.exe"= "c:\\Programme\\HP\\Digital Imaging\\BIN\\hpqusgh.exe"= "c:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"= "c:\\Programme\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service . R1 MpKsla0b96af6;MpKsla0b96af6;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{E72B40BA-AC8F-423C-A226-8BEF61BCFAF6}\MpKsla0b96af6.sys [05.08.2011 11:47 28752] R2 ClipInc001;ClipInc 001;c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?] R2 GtDetectSc;GtDetectSc;c:\programme\Option\GlobeTrotter Connect\GtDetectSc.exe [30.04.2008 17:52 200704] R2 MarxDev1;MarxDev1;c:\windows\system32\drivers\MARXDEV1.SYS [05.02.2009 12:10 8864] R2 MarxDev2;MarxDev2;c:\windows\system32\drivers\MARXDEV2.SYS [05.02.2009 12:10 8864] R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [05.02.2009 12:10 8864] R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [02.08.2011 14:25 366640] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [02.08.2011 14:25 22712] S2 gupdate1c9b687d857bdd2;Google Update Service (gupdate1c9b687d857bdd2);c:\programme\Google\Update\GoogleUpdate.exe [06.04.2009 09:18 133104] S2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592] S3 esgiguard;esgiguard;\??\c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys [?] S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [18.02.2008 17:14 106624] S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [08.02.2008 13:00 59648] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.04.2009 09:18 133104] . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - MPKSLA0B96AF6 . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 HPService REG_MULTI_SZ HPSLPSVC hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 2008-02-26 12:06 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe . Inhalt des "geplante Tasks" Ordners . 2011-07-19 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57] . 2011-08-05 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-03 07:17] . 2011-08-05 c:\windows\Tasks\MpIdleTask.job - c:\programme\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39] . 2011-08-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-04-06 07:18] . 2011-08-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-04-06 07:18] . 2011-08-05 c:\windows\Tasks\OGALogon.job - c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.com/ uInternet Settings,ProxyOverride = <local>;*.local IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 217.0.43.49 217.0.43.33 DPF: {B25AB9F1-B8A2-4072-8964-00C7EDF99750} - hxxps://file-transfer.az-direct.com/COM/MOVEitUploadWizard7.0.0.ocx FF - ProfilePath - . . ------- Dateityp-Verknüpfung ------- . .txt= . - - - - Entfernte verwaiste Registrierungseinträge - - - - . MSConfigStartUp-AcronisTimounterMonitor - c:\programme\Acronis\TrueImageEchoWorkstation\TimounterMonitor.exe MSConfigStartUp-AdobeCS4ServiceManager - c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe MSConfigStartUp-ASUSGamerOSD - c:\program files\ASUS\GamerOSD\GamerOSD.exe MSConfigStartUp-SweetIM - c:\programme\SweetIM\Messenger\SweetIM.exe MSConfigStartUp-TrueImageMonitor - c:\programme\Acronis\TrueImageEchoWorkstation\TrueImageMonitor.exe MSConfigStartUp-WEB.DE_WEB - c:\programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE AddRemove-ABIS AG Convert - c:\windows\unin0407.exe AddRemove-profiTOOLTextPAD - c:\windows\unin0407.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-08-05 11:56 Windows 5.1.2600 Service Pack 3 FAT NTAPI . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(692) c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll . Zeit der Fertigstellung: 2011-08-05 11:57:01 ComboFix-quarantined-files.txt 2011-08-05 09:57 . Vor Suchlauf: 19 Verzeichnis(se), 27.839.463.424 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 30.441.144.320 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect C:\ = "Microsoft Windows" . - - End Of File - - E0D37C31323F83349E3ED3080DE2A4A0 Werde deine Rat folgen und noch weitere ungenutzte Software deinstallieren! Jetzt sollte ich doch wieder mit dem Rechner arbeiten können? Vielen Dank für deine Hilfe Gruß Frank |
![]() | #4 | |||
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Trojaner fake alert Hallo Frank, Zitat:
![]() Ich habe schon von usern gelesen, die sich mit Tools wie TuneUp den Rechner so "zerschossen" haben, dass sich dieser nicht mehr booten ließ. ![]() Zitat:
![]() Zitat:
![]() Was verstehst du unter "arbeiten"? Die Bereinigung müssen wir schon zu Ende führen. ![]() Schritt # 1: CFScript mit ComboFix ausführen Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter Driver:: esgiguard Folder:: c:\programme\Enigma Software Group DDS:: uInternet Settings,ProxyOverride = <local>;*.local Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Adobe Version Cue CS4"=- Wichtig:
![]()
Schritt # 2: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
![]() | #5 |
![]() | ![]() Trojaner fake alert Hallo M-K-D-B, anbei sende ich dir ComboFix Protokoll: [code] Combofix Logfile: Code:
ATTFilter ComboFix 11-08-07.03 - User 08.08.2011 10:05:27.2.2 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2384 [GMT 2:00] ausgeführt von:: D:\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\User\Desktop\CFScript.txt AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programme\Enigma Software Group c:\programme\Enigma Software Group\SpyHunter\Data\dns.dat c:\programme\Enigma Software Group\SpyHunter\Data\proxy.dat c:\programme\Enigma Software Group\SpyHunter\Defs\cmp_2011080501.def c:\programme\Enigma Software Group\SpyHunter\gil.dat c:\programme\Enigma Software Group\SpyHunter\INSTALL.LOG c:\programme\Enigma Software Group\SpyHunter\Log\SpyHunter4_20110802_153127.log c:\programme\Enigma Software Group\SpyHunter\Log\SpyHunter4_20110802_155534.log c:\programme\Enigma Software Group\SpyHunter\Log\SpyHunter4_20110802_155826.log c:\programme\Enigma Software Group\SpyHunter\Log\SpyHunter4_20110802_160658.log c:\programme\Enigma Software Group\SpyHunter\Log\SpyHunter4_20110803_105418.log c:\programme\Enigma Software Group\SpyHunter\mon\autoexec.bat.bk c:\programme\Enigma Software Group\SpyHunter\mon\hosts.bk c:\programme\Enigma Software Group\SpyHunter\mon\system.ini.bk c:\programme\Enigma Software Group\SpyHunter\mon\win.ini.bk c:\programme\Enigma Software Group\SpyHunter\scanlog.log c:\programme\Enigma Software Group\SpyHunter\SH4.com c:\programme\Enigma Software Group\SpyHunter\supportlog.txt c:\windows\TEMP\logishrd\LVPrcInj01.dll . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Legacy_ESGIGUARD -------\Service_esgiguard . . ((((((((((((((((((((((( Dateien erstellt von 2011-07-08 bis 2011-08-08 )))))))))))))))))))))))))))))) . . 2011-08-05 12:07 . 2011-08-05 12:07 -------- d-----w- C:\DBASE 2011-08-05 10:18 . 2011-07-13 03:39 6881616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{80440C16-45A9-4354-8DA4-73A85D859B9C}\mpengine.dll 2011-08-03 10:45 . 2011-08-03 10:40 50477 ----a-w- C:\Defogger.exe 2011-08-03 10:23 . 2011-08-02 12:21 579584 ----a-w- C:\OTL.exe 2011-08-03 10:23 . 2011-08-03 10:23 -------- d-----w- C:\VFAT32 (C) 2011-08-02 13:31 . 2011-08-02 13:31 -------- d-----w- C:\sh4ldr 2011-08-02 13:30 . 2011-08-02 13:30 -------- d-----w- c:\windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP 2011-08-02 13:30 . 2011-08-02 13:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2011-08-02 13:29 . 2011-08-02 13:29 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Windows Search 2011-08-02 12:25 . 2011-08-02 12:25 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes 2011-08-02 12:25 . 2011-08-02 12:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2011-08-02 12:25 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-08-02 12:25 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-08-02 12:25 . 2011-08-02 12:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2011-07-27 13:20 . 2011-07-27 13:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead 2011-07-25 13:35 . 2011-07-25 13:35 -------- d-----w- C:\Work 2011-07-20 08:01 . 2011-07-20 08:01 -------- d-----w- C:\Sperrlisten 2011-07-19 13:11 . 2011-07-19 13:11 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer 2011-07-19 13:09 . 2011-07-19 13:09 -------- d-----w- c:\programme\iPod 2011-07-19 13:09 . 2011-07-19 13:09 -------- d-----w- c:\programme\iTunes 2011-07-19 13:09 . 2011-07-19 13:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} 2011-07-19 13:09 . 2011-07-19 13:09 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer 2011-07-19 13:07 . 2011-07-19 13:07 -------- d-----w- c:\programme\Apple Software Update 2011-07-19 13:05 . 2011-07-19 13:05 -------- d-----w- c:\programme\Bonjour . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-08-03 10:38 . 2011-08-03 10:45 294216 ----a-w- C:\gmer.zip 2011-07-13 03:39 . 2011-07-06 08:42 6881616 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll 2011-06-20 06:57 . 2011-07-04 11:51 7074640 ------w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\{94A0E6BD-F011-43B8-818B-0107D7AE5044}\mpengine.dll 2011-06-06 11:35 . 2006-02-28 10:00 1859072 ----a-w- c:\windows\system32\win32k.sys 2011-05-24 17:14 . 2009-10-02 23:52 222080 ------w- c:\windows\system32\MpSigStub.exe . . ((((((((((((((((((((((((((((( SnapShot@2011-08-05_09.56.22 ))))))))))))))))))))))))))))))))))))))))) . + 2011-08-08 08:11 . 2011-08-08 08:11 16384 c:\windows\Temp\Perflib_Perfdata_7a0.dat + 2011-08-02 13:55 . 2011-08-05 11:37 70408 c:\windows\system32\GDIPFONTCACHEV1.DAT + 2009-02-03 10:13 . 2011-08-05 11:37 2146032 c:\windows\system32\FNTCACHE.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-16 39408] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-20 1211176] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304] "RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408] "MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2011-06-15 997920] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-06-07 421160] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664] "Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096] . [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2008-05-02 00:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc] @="Service" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=c:\windows\pss\BTTray.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan.lnk backup=c:\windows\pss\McAfee Security Scan.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ScanSnap Manager.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ScanSnap Manager.lnk backup=c:\windows\pss\ScanSnap Manager.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GEST] m’|\ü [X] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier] 2009-08-13 13:51 177440 ----a-w- c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CardMinder] 2004-11-12 16:33 36864 ----a-w- c:\programme\PFU\ScanSnap\CardMinder V2.0\CardLauncher.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2011-06-07 15:51 421160 ----a-w- c:\programme\iTunes\iTunesHelper.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel] 2008-02-26 12:08 2289664 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon] 2008-12-20 05:50 2656528 ----a-w- c:\programme\Logitech\QuickCam\Quickcam.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] 2009-02-06 16:51 3885408 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2008-05-28 06:27 570664 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray] 2009-06-25 13:12 1414144 ----a-w- c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pdfquickview] 2003-12-22 15:14 32768 ----a-w- c:\programme\PFU\ScanSnap\PDF Thumbnail View\pdfquickview.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PfuSsSct.exe] 2003-12-22 08:06 110592 ----a-w- c:\programme\PFU\ScanSnap\PfuSsSct.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-11-29 15:38 421888 ----a-w- c:\programme\QuickTime\QTTask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2009-03-16 07:00 39408 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AcrSch2Svc"=2 (0x2) "NVSvc"=2 (0x2) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Tobit ClipInc\\Server\\ClipInc-Server.exe"= "c:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\\WINDOWS\\System32\\msiexec.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service . R2 ClipInc001;ClipInc 001;c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?] R2 MarxDev1;MarxDev1;c:\windows\system32\drivers\MARXDEV1.SYS [05.02.2009 12:10 8864] R2 MarxDev2;MarxDev2;c:\windows\system32\drivers\MARXDEV2.SYS [05.02.2009 12:10 8864] R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [05.02.2009 12:10 8864] R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [02.08.2011 14:25 366640] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [02.08.2011 14:25 22712] S1 MpKslec01f6f8;MpKslec01f6f8;\??\c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{80440C16-45A9-4354-8DA4-73A85D859B9C}\MpKslec01f6f8.sys --> c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{80440C16-45A9-4354-8DA4-73A85D859B9C}\MpKslec01f6f8.sys [?] S2 gupdate1c9b687d857bdd2;Google Update Service (gupdate1c9b687d857bdd2);c:\programme\Google\Update\GoogleUpdate.exe [06.04.2009 09:18 133104] S2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.04.2009 09:18 133104] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 . [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 2008-02-26 12:06 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe . Inhalt des "geplante Tasks" Ordners . 2011-07-19 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57] . 2011-08-08 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-03 07:17] . 2011-08-08 c:\windows\Tasks\MpIdleTask.job - c:\programme\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39] . 2011-08-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-04-06 07:18] . 2011-08-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-04-06 07:18] . 2011-08-08 c:\windows\Tasks\OGALogon.job - c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.com/ IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 217.0.43.49 217.0.43.33 DPF: {B25AB9F1-B8A2-4072-8964-00C7EDF99750} - hxxps://file-transfer.az-direct.com/COM/MOVEitUploadWizard7.0.0.ocx FF - ProfilePath - . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-08-08 10:11 Windows 5.1.2600 Service Pack 3 FAT NTAPI . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(708) c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll . - - - - - - - > 'explorer.exe'(9196) c:\windows\TEMP\logishrd\LVPrcInj01.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\btncopy.dll c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Microsoft Security Client\Antimalware\MsMpEng.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\windows\ATKKBService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Belkin\Bluetooth Software\bin\btwdins.exe c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe c:\windows\system32\IoctlSvc.exe c:\windows\system32\SearchIndexer.exe c:\windows\system32\wscntfy.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\RTHDCPL.EXE c:\windows\system32\RUNDLL32.EXE c:\progra~1\MI3AA1~1\rapimgr.exe c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe c:\programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2011-08-08 10:13:07 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2011-08-08 08:13 ComboFix2.txt 2011-08-05 09:57 . Vor Suchlauf: 22 Verzeichnis(se), 31.840.075.776 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 31.707.037.696 Bytes frei . - - End Of File - - 8FFE33AEA91BC4CAF0D19483AA635738 Danke & Viele Grüße Frank |
![]() | #6 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Trojaner fake alert Hallo Frank, Schritt # 1: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Schritt # 2: Systemscan mit OTL
Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
![]() | #7 |
![]() | ![]() Trojaner fake alert Hallo M-K-D-B, hier kommen die Log-Files. MBAM Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7408 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 08.08.2011 11:11:45 mbam-log-2011-08-08 (11-11-45).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 184819 Laufzeit: 38 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Fatal error: Maximum execution time of 90 seconds exceeded in /www/htdocs/tbcom/includes/functions.php on line 1838 Gruß Frank |
![]() |
Themen zu Trojaner fake alert |
adware.toolbar, alert, fehler, fenster, gefahren, installiert, meldung, monitor, monitor schwarz, nicht vorhanden, ordner, plötzlich, popup, programme, pum.hidden.desktop, pum.hijack.displayproperties, pum.hijack.taskmanager, rogue.fakehdd, runter, sichtbar, system, trojan.fakealert, trojaner, windows, windows xp |