mach bitte erst die Kontrollscans

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/04/2011 at 09:26 PM

Application Version : 5.0.1134

Core Rules Database Version : 7899
Trace Rules Database Version: 5711

Scan type       : Complete Scan
Total Scan Time : 00:49:59

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)
UAC Off - Administrator

Memory items scanned      : 731
Memory threats detected   : 0
Registry items scanned    : 39473
Registry threats detected : 0
File items scanned        : 52372
File threats detected     : 64

Adware.Tracking Cookie
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@ad.ad-srv[2].txt [ /ad.ad-srv ]
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@ad.adc-serv[2].txt [ /ad.adc-serv ]
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@ad.adition[2].txt [ /ad.adition ]
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@ad.zanox[2].txt [ /ad.zanox ]
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@adfarm1.adition[1].txt [ /adfarm1.adition ]
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@ads.pubmatic[1].txt [ /ads.pubmatic ]
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@atdmt[1].txt [ /atdmt ]
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@invitemedia[1].txt [ /invitemedia ]
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@webmasterplan[2].txt [ /webmasterplan ]
	C:\Users\Benedikt\AppData\Roaming\Microsoft\Windows\Cookies\benedikt@zanox[1].txt [ /zanox ]
	C:\USERS\BENEDIKT\Cookies\benedikt@webmasterplan[2].txt [ Cookie:benedikt@webmasterplan.com/ ]
	C:\USERS\BENEDIKT\Cookies\benedikt@zanox[1].txt [ Cookie:benedikt@zanox.com/ ]
	C:\USERS\BENEDIKT\Cookies\benedikt@adfarm1.adition[1].txt [ Cookie:benedikt@adfarm1.adition.com/ ]
	C:\USERS\BENEDIKT\Cookies\benedikt@ad.zanox[2].txt [ Cookie:benedikt@ad.zanox.com/ ]
	C:\USERS\BENEDIKT\Cookies\benedikt@invitemedia[1].txt [ Cookie:benedikt@invitemedia.com/ ]
	.im.banner.t-online.de [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.xiti.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.amazon-adsystem.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.amazon-adsystem.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.doubleclick.net [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.atdmt.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.atdmt.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.apmebf.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.mediaplex.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.mediaplex.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.imrworldwide.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.imrworldwide.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	de.sitestat.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.countomat.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	ad.adserver01.de [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.webmasterplan.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.webmasterplan.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.im.banner.t-online.de [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.deutschepostag.112.2o7.net [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.revsci.net [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	ad.yieldmanager.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	ad3.adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.smartadserver.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.smartadserver.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.smartadserver.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.smartadserver.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.smartadserver.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.statcounter.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.adtech.de [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	ww251.smartadserver.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.doubleclick.net [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.tns-counter.ru [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	ad4.adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	ad.zanox.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.zanox.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.tracking.quisma.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	.adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
	ad2.adfarm1.adition.com [ C:\USERS\BENEDIKT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9GBWPVS7.DEFAULT\COOKIES.SQLITE ]
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8084

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

04.11.2011 21:34:36
mbam-log-2011-11-04 (21-34-36).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 174918
Laufzeit: 4 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e32b6420ee5990489406f9b8c9fbdf86
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-03 05:05:55
# local_time=2011-11-03 06:05:55 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 100 66762 95230042 59999 0
# compatibility_mode=5892 16776573 100 100 10641 157866206 0 0
# compatibility_mode=8192 67108863 100 0 3814 3814 0 0
# scanned=184697
# found=1
# cleaned=0
# scan_time=6477
C:\Users\Benedikt\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\d8b9bf1-63ad81bd	a variant of Java/Agent.DW trojan (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e32b6420ee5990489406f9b8c9fbdf86
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-04 08:37:28
# local_time=2011-11-04 09:37:28 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 100 172302 95335582 165539 0
# compatibility_mode=5892 16776573 100 100 4133 157971746 0 0
# compatibility_mode=8192 67108863 100 0 109354 109354 0 0
# scanned=369
# found=0
# cleaned=0
# scan_time=29
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e32b6420ee5990489406f9b8c9fbdf86
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-11-05 08:26:16
# local_time=2011-11-05 09:26:16 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 100 207899 95371179 201136 0
# compatibility_mode=5892 16776573 100 100 3861 158007343 0 0
# compatibility_mode=8192 67108863 100 0 144951 144951 0 0
# scanned=198805
# found=0
# cleaned=0
# scan_time=6961
         

Zitat:

Art des Suchlaufs: Quick-Scan

Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8115

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

08.11.2011 20:56:35
mbam-log-2011-11-08 (20-56-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 360095
Laufzeit: 3 Stunde(n), 10 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Ja, mein Startmenü ist immer noch leer, keine Ahnung wie ich das hinbiegen kann.

z.B.: Start -> Alle Programme -> AntiVir -> Leer (statt irgendwelchen Einträgen)

So sieht das bei allen Einträgen aus, nur "Zubehör" und "WinRar" sind komplett da.

Sonst hab ich aber keine Probleme mehr, keine Fehler, keine Meldungen, keine Viren.

Erstell dir mal ein neues Benutzerkonto in der Systemsteuerung und log dich dann darin ein. Ist dort das Startmenü auch leer?

Jepp, die Einträge sind da, aber die Ordner sind leer.

Hm, vor ca. einem 3/4 jahr hatten wir hier häufig die Problematik, dass das Startmenü leer war nach einer Infektion. Ich hab damals immer den u.z. Text gepostet. Ich fürchte aber die Verknüpfungen sind bei dir weg. Wenn die nicht im genannten Ordner liegen, könnte eine Dateisuche nach den Verknüpfungen mit etwas Glück noch helfen.

Zitat:

Durch die Infektion wurde dein Startmenü leergefegt, bei mir bisher bekannten Varianten verschiebt der Schädling alle Verknüpfungen nach %tmp%\smtmp

Eigentlich sollte unhide die Verküpfungen selbst zurück an die richtige Stelle kopieren. Wenn nicht, mach es selbst.

Deine Verknüpfungen sollten jetzt hier sein: (lass dir vorher alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html )

C:\Dokumente und Einstellungen\[DEIN_NAME]\Lokale Einstellungen\Temp\smtmp

Sie müssen passend nach

C:\Dokumente und Einstellungen\[DEIN_NAME]\Startmenü

kopiert werden.



Schau bitte nach ob der Ordner smtmp entweder hier

=> C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\[DEIN_NAME]\Lokale Einstellungen\Temp\smtmp

oder hier

=> Dokumente und Einstellungen\[DEIN_NAME]\Lokale Einstellungen\Temp\smtmp

zu finden ist. Stell sicher, dass dir alle Dateien angezeigt werden => http://www.trojaner-board.de/59624-a...-sichtbar.html

Den Ordner SMTMP gibts bei mir nicht, den Ordner "TMP" auch nicht.

Zitat:

Der Pfad ist nicht verfügbar

Auf C:\Users\Benedikt\Startmenü kann nicht zugegriffen werden.

Zugriff verweigert.

Bei "C:\Dokumente und Einstellungen\Benedikt\Startmenü" kommt der Fehler ebenfalls.

In "C:\Qoobox\Quarantine\C\..." ist auch nichts zu finden.

Auf "...\Lokale Einstellungen\" kann ich nicht zugreifen,

Zitat:

Der Pfad ist nicht verfügbar.

...

Zugriff verweigert

Zitat:

Auf C:\Users\Benedikt\Startmenü kann nicht zugegriffen werden.

Zugriff verweigert.

Dann navigier mal C:\Users\Benedikt\
Rechtsklick auf Starmenü => Eigenschaften => Sicherheit
Prüf dort die Zugriffsrechte.

Ist das denn korrekt, das "Startmdenü" nur eine Verknüpfung ist?

"System" / "Benedikt" / "Administratoren" hat vollen Zugriff, nur "Spezielle Berechtigungen" hat keinen Haken, kein Haken ist bei "Verweigern" gesetzt.
"Jeder" hat nur einen Haken bei "Spezielle Berechtigungen", bei "Verweigern".

Zitat:

Ist das denn korrekt, das "Startmdenü" nur eine Verknüpfung ist?

Bin ich mir jetzt nicht so sicher, hab hier auch gerade kein Win7 da um das zu prüfen.
Das Betreten des Ordners wird aber immer noch verweigert? Mit vollem Zugriff solltest du da eigentlich rankommen

Ja, ich kann da gar nicht drauf zugreifen, immer wieder "Zugriff verweigert".