|
Log-Analyse und Auswertung: Infected.WebPage.Gen3 in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.09.2011, 13:40 | #1 |
| Infected.WebPage.Gen3 in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\ Hallo Zusammen, ich wende mich bereits ein zweites Mal hierher, da mir hier zuvor bereits gut geholfen wurde. (Es handelte sich dabei um ein Fehlalarm.) Es kam wieder eine Warnmeldung mit AntiVir. Der Platz oben in der Betreffzeile hat nicht ausgreicht. Die "fehlerhafte" Datei wurde gefunden in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\_CACHE_002_ Ich habe die Datei gleich an AntiVir mit Betreff "Verdacht auf Fehlalarm" gesendet, und nun folgende Antwort erhalten: Dear Sir or Madam, Thank you for your email to Avira's virus lab. Tracking number: INC00837114. We received the following archive files: File ID Filename Size (Byte) Result 26311604 4e7ad5d185296.zip 160.52 KB OK A listing of files contained inside archives alongside their results can be found below: File ID Filename Size (Byte) Result 26311605 488a78e1.vir 280.35 KB DAMAGED FILE (MALWARE) Please find a detailed report concerning each individual sample below: Filename Result 488a78e1.vir DAMAGED FILE (MALWARE) The file '488a78e1.vir' has been determined to be 'DAMAGED FILE (MALWARE)'.In particular this means that this file is damaged and not working properly. Nevertheless we were able to determine that it contains malicious code fragments. Was bedeutet das nun für mich? Was muss ich tun? Die Warnmeldung von AntiVir kam ein paar Mal. Seit dem gab es nichts mehr. Ich hatte die Datei immer in Quarantäne geschoben. Muss ich die Datei nochmal an AntiVir schicken, nun aber mit dem Betreff "Verdächtige Datei"? Bin ich nun sicher? Vielen lieben Dank an Euch! Gruß, mantoos |
24.09.2011, 15:06 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Infected.WebPage.Gen3 in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\ Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
__________________ |
26.09.2011, 11:32 | #3 |
| log von ESET ESETSmartInstaller@High as downloader log:
__________________all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=e587b92cefa6c840be73c51a345e9e05 # end=stopped # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-25 09:49:25 # local_time=2011-09-25 11:49:25 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=1797 16775165 100 100 200361 91882899 45566 0 # compatibility_mode=4096 16777215 100 0 76995718 76995718 0 0 # compatibility_mode=5892 16776573 100 100 35957 154519063 0 0 # compatibility_mode=8192 67108863 100 0 325 325 0 0 # scanned=24373 # found=0 # cleaned=0 # scan_time=1029 ESETSmartInstaller@High as downloader log: all ok esets_scanner_update returned -1 esets_gle=53251 # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=e587b92cefa6c840be73c51a345e9e05 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-09-26 08:37:25 # local_time=2011-09-26 10:37:25 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=1797 16775165 100 100 231380 91913918 76585 0 # compatibility_mode=4096 16777215 100 0 77026737 77026737 0 0 # compatibility_mode=5892 16776573 100 100 570 154550082 0 0 # compatibility_mode=8192 67108863 100 0 31344 31344 0 0 # scanned=205365 # found=0 # cleaned=0 # scan_time=8890 |
26.09.2011, 11:34 | #4 |
| log von Malwarebytes Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 7796 Windows 6.0.6002 Service Pack 2 Internet Explorer 9.0.8112.16421 25.09.2011 20:57:39 mbam-log-2011-09-25 (20-57-39).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 374895 Laufzeit: 1 Stunde(n), 19 Minute(n), 19 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
26.09.2011, 11:43 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Infected.WebPage.Gen3 in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\ CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
27.09.2011, 07:56 | #6 |
| OTL Scan fertig Hallo Arne, ich hab den Scan gemacht. Die log-Datei ist so elend lang, wie geht das mit der Box, wie Du es oben gemacht hast? Reicht Dir hier ggf. ein Auszug, nach was suchst Du? In dem Log steht ja so ziemlich alles von mir drin, und würde ich ungern im Ganzen posten. Gruß, mantoos |
27.09.2011, 08:03 | #7 |
| Extra.txt von OTL Achso, hab ich eben erst gesehen. OTL hat auch die Datei Extras.txt angelegt mit dem ersten Eintrag OTL Extras logfile created on: 27.09.2011 08:03:41 - Run 1 Dies zur Info und Vollständigkeit. Gruß, mantoos |
27.09.2011, 11:19 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Infected.WebPage.Gen3 in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\ Mach es so wenn die Logs zu groß sind => http://www.trojaner-board.de/69886-a...tml#post566999
__________________ Logfiles bitte immer in CODE-Tags posten |
28.09.2011, 07:14 | #9 |
| OTL logfiles Hallo Arne, anbei der Anhang. Danke, mantoos |
28.09.2011, 10:37 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Infected.WebPage.Gen3 in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\ Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O4 - HKLM..\Run: [] File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{38f630de-b955-11dd-9bf5-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{38f630de-b955-11dd-9bf5-806e6f6e6963}\Shell\AutoRun\command - "" = F:\lge.exe O33 - MountPoints2\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\Shell - "" = AutoRun O33 - MountPoints2\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\Shell\AutoRun\command - "" = G:\pushinst.exe O33 - MountPoints2\{89b30791-b8e3-11dd-a178-00508d95d8e2}\Shell - "" = AutoRun O33 - MountPoints2\{89b30791-b8e3-11dd-a178-00508d95d8e2}\Shell\AutoRun\command - "" = G:\pushinst.exe @Alternate Data Stream - 217 bytes -> C:\ProgramData\TEMP:DA18D4E3 @Alternate Data Stream - 213 bytes -> C:\ProgramData\TEMP:581B0446 @Alternate Data Stream - 204 bytes -> C:\ProgramData\TEMP:5F85EE30 @Alternate Data Stream - 200 bytes -> C:\ProgramData\TEMP:6BF0805F @Alternate Data Stream - 196 bytes -> C:\ProgramData\TEMP:70B3C619 @Alternate Data Stream - 196 bytes -> C:\ProgramData\TEMP:592D7272 @Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:908A1B53 @Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:96646EC1 @Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:D9987109 @Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:97995ED4 @Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:93F3E4C9 @Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:4A966CC2 @Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:151760F0 :Commands [emptytemp] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
28.09.2011, 13:04 | #11 |
| OTL log nach Fix und Reboot All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38f630de-b955-11dd-9bf5-806e6f6e6963}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38f630de-b955-11dd-9bf5-806e6f6e6963}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38f630de-b955-11dd-9bf5-806e6f6e6963}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38f630de-b955-11dd-9bf5-806e6f6e6963}\ not found. File F:\lge.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5f129309-9a1c-11df-bb1e-00508d95d8e2}\ not found. File G:\pushinst.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{89b30791-b8e3-11dd-a178-00508d95d8e2}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89b30791-b8e3-11dd-a178-00508d95d8e2}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{89b30791-b8e3-11dd-a178-00508d95d8e2}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89b30791-b8e3-11dd-a178-00508d95d8e2}\ not found. File G:\pushinst.exe not found. ADS C:\ProgramData\TEMPA18D4E3 deleted successfully. ADS C:\ProgramData\TEMP:581B0446 deleted successfully. ADS C:\ProgramData\TEMP:5F85EE30 deleted successfully. ADS C:\ProgramData\TEMP:6BF0805F deleted successfully. ADS C:\ProgramData\TEMP:70B3C619 deleted successfully. ADS C:\ProgramData\TEMP:592D7272 deleted successfully. ADS C:\ProgramData\TEMP:908A1B53 deleted successfully. ADS C:\ProgramData\TEMP:96646EC1 deleted successfully. ADS C:\ProgramData\TEMP9987109 deleted successfully. ADS C:\ProgramData\TEMP:97995ED4 deleted successfully. ADS C:\ProgramData\TEMP:93F3E4C9 deleted successfully. ADS C:\ProgramData\TEMP:4A966CC2 deleted successfully. ADS C:\ProgramData\TEMP:151760F0 deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56466 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: *** User: *** ->Temp folder emptied: 32074148 bytes ->Temporary Internet Files folder emptied: 1983467 bytes ->Java cache emptied: 16371598 bytes ->FireFox cache emptied: 43646371 bytes ->Google Chrome cache emptied: 7761409 bytes ->Apple Safari cache emptied: 7586816 bytes ->Flash cache emptied: 56941 bytes User: *** ->Temp folder emptied: 6936700 bytes ->Temporary Internet Files folder emptied: 117617765 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 16090686 bytes ->Flash cache emptied: 56941 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1114674 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 6285022 bytes RecycleBin emptied: 713537587 bytes Total Files Cleaned = 926,00 mb C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.29.1 log created on 09282011_134708 Files\Folders moved on Reboot... Registry entries deleted on Reboot... --> Was passiert hier eigentlich genau? Danke und Gruß, mantoos |
28.09.2011, 13:56 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Infected.WebPage.Gen3 in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\ Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Infected.WebPage.Gen3 in C:\Users\...\AppData\Local\Mozilla\Firefox\Profiles\m3ssewbw.default\Cache\ |
appdata, archive, avira, cache, code, datei, email, firefox, folge, folgende, found, gesendet, hallo zusammen, malware, meldung, mozilla, nichts, not, quarantäne, report, this, verdacht, verdächtige, virus, warnmeldung |