|
Log-Analyse und Auswertung: C:\dir\install\install\Windows Update.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.11.2011, 16:34 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | C:\dir\install\install\Windows Update.exe Windows-Firewall kann anbleiben, die sollte nicht stören. Der Rest steht in der Anleitung.
__________________ Logfiles bitte immer in CODE-Tags posten |
18.11.2011, 19:13 | #17 |
| C:\dir\install\install\Windows Update.exe So, habe alles ausgeführt:
__________________[code] Combofix Logfile: Code:
ATTFilter ComboFix 11-11-18.02 - Heiko 18.11.2011 17:28:36.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1641 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Heiko\Desktop\ComboFix.exe AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\Heiko\Anwendungsdaten\inst.exe c:\dokumente und einstellungen\Heiko\Anwendungsdaten\vso_ts_preview.xml c:\dokumente und einstellungen\Heiko\WINDOWS c:\programme\INSTALL.LOG c:\windows\help\wmplayer.bak c:\windows\IsUn0407.exe c:\windows\system32\drivers\fad.sys c:\windows\TSOC.LOG . . ((((((((((((((((((((((( Dateien erstellt von 2011-10-18 bis 2011-11-18 )))))))))))))))))))))))))))))) . . 2011-11-17 00:19 . 2011-11-17 15:30 -------- d-----w- C:\_OTL 2011-11-14 19:09 . 2011-11-14 19:09 -------- d-----w- c:\programme\ESET 2011-10-31 19:35 . 2011-10-31 19:35 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll 2011-10-31 19:35 . 2011-10-31 19:35 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll 2011-10-31 19:35 . 2011-10-31 19:35 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll 2011-10-31 19:35 . 2011-10-31 19:35 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll 2011-10-31 19:35 . 2011-10-31 19:35 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll 2011-10-31 19:35 . 2011-10-31 19:35 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll 2011-10-31 19:35 . 2011-10-31 19:35 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll 2011-10-31 19:34 . 2011-10-31 19:35 -------- d-----w- c:\programme\QuickTime 2011-10-31 19:27 . 2011-10-31 19:27 -------- d-----w- c:\programme\iPod 2011-10-31 19:26 . 2011-10-31 19:28 -------- d-----w- c:\programme\iTunes 2011-10-31 19:17 . 2011-10-31 19:17 -------- d-----w- c:\programme\Bonjour 2011-10-29 16:22 . 2011-10-29 16:22 -------- d-----w- C:\Musik_Rumer - Seasons of the Soul (2010) 2011-10-24 13:29 . 2011-10-24 13:29 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2011-10-24 13:29 . 2011-10-24 13:29 69632 ----a-w- c:\windows\system32\QuickTime.qts 2011-10-19 21:11 . 2011-10-19 21:11 -------- d-----w- C:\musik_Peter Schilling - Neu & Live 2010 Komplett 2011-10-19 21:10 . 2011-10-19 21:11 -------- d-----w- C:\musik_Ottos_Eleven-OST-2CD-DE-2010 2011-10-19 21:10 . 2011-10-19 21:10 -------- d-----w- C:\musik_Pop - Zaz - Zaz (2010) 2011-10-19 21:08 . 2011-10-19 21:09 -------- d-----w- C:\musik_VA - Bravo_The_Hits_2010-2CD-2010 2011-10-19 21:08 . 2011-10-19 21:08 -------- d-----w- C:\musik_Sarah Engels - Heartbeat - 2011 2011-10-19 21:07 . 2011-10-19 21:08 -------- d-----w- C:\musik_VA- The Dome Vol.55 - 2CD - 2010 - VOiCE 2011-10-19 21:07 . 2011-10-19 21:07 -------- d-----w- C:\musik_VA - Tatort Musik Edition.Rock and Pop.2CD.2010-OMA 2011-10-19 21:06 . 2011-10-19 21:07 -------- d-----w- C:\musik_VA - Tatort Musik Edition.Die Hits Von 2000 Bis 2009.2CD.2010-OMA 2011-10-19 21:06 . 2011-10-19 21:06 -------- d-----w- C:\musik_VA - Tatort Musik Edition.Die Hits Von 1970 Bis 1979.2CD.2010-OMA 2011-10-19 21:06 . 2011-10-19 21:06 -------- d-----w- C:\musik_Pop - Herbert Grönemeyer - Schiffsverkehr - Special Edition (2011) . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-10-10 14:22 . 2004-06-07 12:19 692736 ----a-w- c:\windows\system32\inetcomm.dll 2011-09-28 07:06 . 2002-09-23 13:10 604160 ----a-w- c:\windows\system32\crypt32.dll 2011-09-26 09:41 . 2008-07-29 18:59 614912 ----a-w- c:\windows\system32\uiautomationcore.dll 2011-09-26 09:41 . 2002-08-29 04:00 23040 ----a-w- c:\windows\system32\oleaccrc.dll 2011-09-26 09:41 . 2002-08-29 04:00 220160 ----a-w- c:\windows\system32\oleacc.dll 2011-09-06 20:45 . 2010-12-21 01:11 41184 ----a-w- c:\windows\avastSS.scr 2011-09-06 20:45 . 2010-12-21 01:11 199304 ----a-w- c:\windows\system32\aswBoot.exe 2011-09-06 20:38 . 2011-03-06 17:02 442200 ----a-w- c:\windows\system32\drivers\aswSnx.sys 2011-09-06 20:37 . 2010-12-21 01:12 320856 ----a-w- c:\windows\system32\drivers\aswSP.sys 2011-09-06 20:36 . 2010-12-21 01:12 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2011-09-06 20:36 . 2010-12-21 01:12 52568 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2011-09-06 20:36 . 2010-12-21 01:12 110552 ----a-w- c:\windows\system32\drivers\aswmon2.sys 2011-09-06 20:36 . 2010-12-21 01:12 104536 ----a-w- c:\windows\system32\drivers\aswmon.sys 2011-09-06 20:36 . 2010-12-21 01:12 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2011-09-06 20:33 . 2010-12-21 01:12 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys 2011-09-06 14:10 . 2002-08-29 04:00 1859072 ----a-w- c:\windows\system32\win32k.sys 2011-08-31 16:00 . 2010-09-06 22:21 22216 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-08-30 22:05 . 2011-08-30 22:05 83816 ----a-w- c:\windows\system32\dns-sd.exe 2011-08-30 22:05 . 2011-08-30 22:05 73064 ----a-w- c:\windows\system32\dnssd.dll 2011-08-30 22:05 . 2011-08-30 22:05 50536 ----a-w- c:\windows\system32\jdns_sd.dll 2011-08-30 22:05 . 2011-08-30 22:05 178536 ----a-w- c:\windows\system32\dnssdX.dll 2011-08-22 23:41 . 2004-02-06 16:07 916480 ----a-w- c:\windows\system32\wininet.dll 2011-08-22 23:41 . 2002-08-29 04:00 43520 ------w- c:\windows\system32\licmgr10.dll 2011-08-22 23:41 . 2002-08-29 04:00 1469440 ------w- c:\windows\system32\inetcpl.cpl 2011-08-22 11:56 . 2004-08-04 07:42 385024 ------w- c:\windows\system32\html.iec . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast] @="{472083B0-C522-11CF-8763-00608CC02F24}" [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}] 2011-09-06 20:45 122512 ----a-w- c:\programme\Alwil Software\Avast5\ashShell.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" [2002-08-28 28672] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-04-29 327680] "avast"="c:\programme\Alwil Software\Avast5\avastUI.exe" [2011-09-06 3722416] "APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-10-24 421888] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\SaferSurf FileSharing\\SaferSurf-FileSharing.exe"= "c:\\Programme\\eMule\\emule.exe"= "c:\\totalcmd\\TOTALCMD.EXE"= "c:\\Programme\\ChessBase\\ChessProgram8\\ChessProgram8.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\NewsBin\\nbpro.exe"= "c:\\Programme\\REALTEK\\11n USB Wireless LAN Utility\\RtWLan.exe"= "c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1542:TCP"= 1542:TCP:Realtek WPS TCP Prot "1542:UDP"= 1542:UDP:Realtek WPS UDP Prot "53:UDP"= 53:UDP:Realtek AP UDP Prot . R0 PrecSim;PrecSim;c:\windows\SYSTEM32\DRIVERS\precsim.sys [21.05.2002 23:00 69600] R1 aswSnx;aswSnx;c:\windows\SYSTEM32\DRIVERS\aswSnx.sys [06.03.2011 18:02 442200] R1 aswSP;aswSP;c:\windows\SYSTEM32\DRIVERS\aswSP.sys [21.12.2010 02:12 320856] R1 bizVSerial;Franson VSerial;c:\windows\SYSTEM32\DRIVERS\bizVSerialNT.sys [30.04.2011 13:14 14949] R2 aswFsBlk;aswFsBlk;c:\windows\SYSTEM32\DRIVERS\aswFsBlk.sys [21.12.2010 02:12 20568] R3 pcouffin;VSO Software pcouffin;c:\windows\SYSTEM32\DRIVERS\pcouffin.sys [13.11.2010 08:44 47360] R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [29.11.2010 19:27 10064] S3 cglptnt;cglptnt;c:\totalcmd\CGLPTNT.SYS [22.08.2003 14:26 7888] S3 cjusb;REINER SCT cyberJack USB Driver;c:\windows\SYSTEM32\DRIVERS\cjusb.sys [30.04.2011 13:14 28144] S3 esgiguard;esgiguard;\??\c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys [?] S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\SYSTEM32\DRIVERS\RTL8192su.sys [30.05.2011 13:55 591488] . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners . 2011-11-14 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57] . 2011-11-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-08-13 18:02] . 2011-11-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-08-13 18:02] . 2011-09-22 c:\windows\Tasks\ISP-Anmeldungserinnerung 1.job - c:\windows\System32\OOBE\OOBEBALN.EXE [2002-08-29 02:22] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.178.1 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab . - - - - Entfernte verwaiste Registrierungseinträge - - - - . AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE AddRemove-map&guide 9 - c:\windows\IsUn0407.exe AddRemove-map&guide 9 Karte Deutschland City - c:\windows\IsUn0407.exe AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-11-18 17:43 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . Zeit der Fertigstellung: 2011-11-18 17:51:17 ComboFix-quarantined-files.txt 2011-11-18 16:51 . Vor Suchlauf: 2.003.922.944 Bytes frei Nach Suchlauf: 2.036.645.888 Bytes frei . WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn [spybotsd] timeout.old=30 . - - End Of File - - A316165BCD2B73B8356E8ED1844732A6 Wie gehts weiter? LG und schönen Abend noch Heiko |
18.11.2011, 19:17 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | C:\dir\install\install\Windows Update.exe Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
__________________GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ |
20.11.2011, 02:32 | #19 |
| C:\dir\install\install\Windows Update.exe Hallo Arne, hier erst mal der Log von GMER. Hat lange gedauert bis es durchgelaufen war. OSAM-Log mache ich nach Neustart. Heißt ja ich soll nach jedem Scan Neustart machen. Oder? Mist, Text zu lange sagt mir das Board. Füge ich daher als Anlage bei. OK? Anhang 24452 Ehrlich gesagt verstehe ich nur Bahnhof was ich hier mache. Vielen Dank und ne gute Nacht Heiko |
20.11.2011, 03:03 | #20 |
| C:\dir\install\install\Windows Update.exe So Arne, habe Schlepptop neu gestartet. avast! Pro Antivirus hatte ich noch deaktiviert gehabt, also schon beim Scannen mit gmer. Schlimm? OSAM hat Onlinedatenbank abgerufen. Also habe ich Netzwerkkabel dran gelassen und nicht rausgezogen. Hier der Log von OSAM: Code:
ATTFilter OSAM Logfile: Ich hoffe ich mache alles richtig. Vielen Dank Heiko |
20.11.2011, 03:37 | #21 |
| C:\dir\install\install\Windows Update.exe Hallo Arne, habe jetzt das aswMBR.exe laufen lassen. Quickscan war voreingestellt. Habe ich so gelassen. Hier die *.txt-Datei: Anhang 24453 2x was Rotes hat er mir im DOS Fenster angezeigt. Aktiviere jetzt wieder das avast! Pro Antivirus und fahre Schlepptop runter. Noch mal gute Nacht Heiko |
20.11.2011, 12:56 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | C:\dir\install\install\Windows Update.exe Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
21.11.2011, 08:54 | #23 |
| C:\dir\install\install\Windows Update.exe Hallo Arne, habe alles ausgeführt. Das Malware's Anti-Malware war schon installiert. Nur aktualisiert dann. Hier der Log von Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 8198 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 20.11.2011 14:55:00 mbam-log-2011-11-20 (14-55-00).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|) Durchsuchte Objekte: 263583 Laufzeit: 53 Minute(n), 4 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Hier mal ein paar Hardcopys bevor ich losgelegt habe das Teil laufen zu lassen: Anhang 24499 Das Programm hat sich irgendwo im Autostart o. ä. eingetragen. Jedenfalls startet es autom. beim Booten von Windoofs und legt sich rechts im Systemtray ab. Hier der Log: Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 11/20/2011 at 09:13 PM Application Version : 5.0.1136 Core Rules Database Version : 7965 Trace Rules Database Version: 5777 Scan type : Complete Scan Total Scan Time : 02:32:41 Operating System Information Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600) Administrator Memory items scanned : 459 Memory threats detected : 0 Registry items scanned : 38735 Registry threats detected : 0 File items scanned : 97569 File threats detected : 8 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Heiko\Cookies\ZA47D1QJ.txt [ /imrworldwide.com ] C:\Dokumente und Einstellungen\Heiko\Cookies\F6PY5BV6.txt [ /doubleclick.net ] C:\Dokumente und Einstellungen\Heiko\Cookies\JDYT2K8Y.txt [ /atdmt.com ] C:\Dokumente und Einstellungen\Heiko\Cookies\G5X202VF.txt [ /msnportal.112.2o7.net ] C:\Dokumente und Einstellungen\Heiko\Cookies\A0H8KTJX.txt [ /mediaplex.com ] C:\Dokumente und Einstellungen\Heiko\Cookies\P90KVQO2.txt [ /c.atdmt.com ] C:\Dokumente und Einstellungen\Heiko\Cookies\ORPN669C.txt [ /apmebf.com ] Trojan.Agent/Gen-FakeAlert C:\PROGRAMME\MG9\PROG\MGXLS.EXE Jetzt wurde 2 Objekte gefunden: Code:
ATTFilter ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK esets_scanner_update returned -1 esets_gle=53251 # version=7 # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=ab4575ee78827640b7e967fa4b63e38f # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-11-16 01:46:51 # local_time=2011-11-16 02:46:51 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=768 16777215 100 0 27616890 27616890 0 0 # compatibility_mode=4096 16777215 100 0 0 0 0 0 # compatibility_mode=8192 67108863 100 0 44613 44613 0 0 # scanned=96781 # found=2 # cleaned=0 # scan_time=65667 C:\Dokumente und Einstellungen\...\Anwendungsdaten\javaw.exe a variant of MSIL/Agent.BI trojan (unable to clean) 00000000000000000000000000000000 I ${Memory} a variant of MSIL/Agent.BI trojan 00000000000000000000000000000000 I # version=7 # IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=ab4575ee78827640b7e967fa4b63e38f # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-11-21 05:33:38 # local_time=2011-11-21 06:33:38 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=768 16777215 100 0 28945019 28945019 0 0 # compatibility_mode=4096 16777215 100 0 0 0 0 0 # compatibility_mode=8192 67108863 100 0 541142 541142 0 0 # scanned=75201 # found=2 # cleaned=0 # scan_time=14732 C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP186\A0032306.exe a variant of MSIL/Agent.BI trojan (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles.zip a variant of MSIL/Agent.BI trojan (unable to clean) 00000000000000000000000000000000 I Und eben kam auch der Hinweis Gerät wurde nicht richtig erkannt o. ä. Auch hier mal Hardcopys: Anhang 24500 Aktiviere gleich wieder XP-Firewall und das avast!... SUPERAntiSpyware kommt ja autom. beim Booten. Fahre Schlepptop dann erst mal wieder runter. Gute Nacht Heiko PS: Habe Verlauf vom IE heute Nacht gelöscht. Seitdem sind die Cookies weg. Gerade gesehen sind wieder welche da. |
21.11.2011, 10:55 | #24 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | C:\dir\install\install\Windows Update.exeZitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
21.11.2011, 16:12 | #25 |
| C:\dir\install\install\Windows Update.exe Also diese Datei hier C:\PROGRAMME\MG9\PROG\MGXLS.EXE ist im Programmordner von Map & Guide 9 (ältere Version). Ob die zum eigentlichen Programm gehört, kann ich nicht sagen. Die eigentliche Verknüpfung für Map & Guide, welche ich bisher immer gestartet habe über Startmenü ist: C:\Programme\mg9\prog\mgstart.exe Über die Eigenschaften von mgstart.exe zeigt Windows mir auch den Register Version mit den Infos von Map & Guide an. Bei mgxls.exe fehlt dieser Register. Da das Programm schon älter ist und ich es lange nicht mehr benutzt habe, würde ich es sowieso gerne deinstallieren. Ist das OK? Oder erst mal den Rest abwarten? Habe z. Zt. nur diesen Schlepptop am Laufen mit Win XP. Anderen PC hatte ich platt gemacht und Linux installiert. Unter Knoppix Live-DVD hatte ich am Schlepptop bisher keine Probleme mit der externen Platte gehabt. Aber ich boote auch nicht regelmäßig mit der DVD. Und die Fehler mit der externen Platte treten nicht immer auf. Nur hin und wieder mal. Seit wann genau kann ich nicht mehr sagen. Irgendwann letztes Jahr. Vielleicht so 2-3 Monate nach dem Kauf. Diese Festplatte hatte ich im Schweiz-Urlaub gekauft. War glaube ich letztes Jahr. Beim ESET Online Scan ist mir im Log die Datei javaw.exe aufgefallen. Hatten wir die nicht schon am Anfang mit dem OTL-Fix gelöscht bzw. nach C:\_OTL... verschoben lassen? Warum jetzt wieder da unter Anwendungsdaten? Und unter C:\System Volume Information\_restore... werden da nicht die Wiederherstellungsinformationen von Windoofs XP abgelegt? Vielen Dank. Gruß Heiko |
21.11.2011, 16:17 | #26 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | C:\dir\install\install\Windows Update.exeZitat:
Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
21.11.2011, 16:18 | #27 |
| C:\dir\install\install\Windows Update.exe PS: Habe den Ordner C:\Programme\mg9\prog mit meinem avast! Pro Antivirus überprüft. Der findet da nix. Gruß Heiko |
21.11.2011, 18:24 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | C:\dir\install\install\Windows Update.exe Rechner nun wieder im Lot?
__________________ Logfiles bitte immer in CODE-Tags posten |
21.11.2011, 22:27 | #29 | |
| C:\dir\install\install\Windows Update.exe Hallo Arne, bin mir nicht sicher ob alles ok ist. Das müßt Ihr/Du mir sagen. Habe versucht das Map & Guide zu deinstallieren. Über den eigenen Deinstaller erhalte ich Fehlermeldung: Anhang 24549 Sowie über Windows-Software ebenfalls: Anhang 24550 Sind jetzt die Pfade zu dem Deinstaller falsch? Dateiordner C:\Qoobox wurde lt. Eigenschaften erstellt: Freitag, 18. November 2011, 17:19:28. MG9 über Explorer manuell löschen und Einträge im Startmenü + Softwaremenü ebenfalls manuell löschen? Über Knoppix Boot-DVD habe ich mir mal aus C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP186\A0032306.exe auf C:\ gespeichert. Über Windows ging es nicht. Wollte mir die Eigenschaften über Windows Explorer anzeigen lassen, hat avast! Pro Antivirus direkt Alarm geschlagen und in Quarantäne geschoben. Ich zurück auf C:\ und umbenannt in A0032306.ex Diese Datei hat selbe Größe wie C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\javaw.exe. Diese wurde ja bei dem Combofix nach C:\_OTL verschoben. Dort ist die Datei aber jetzt nicht mehr vorhanden. War sie aber. Ist jetzt auch noch in der ZIP-Datei MovedFiles.zip aufgelistet. Die anderen Dateien sind unter c:\_OTL\MovedFiles\11172011_011918\ aber noch vorhanden. Muß ich diese A0032306.ex und auch die im _restore... A0032306.exe nicht auch löschen? Zusätzlich ist mir noch ein weiterer neuer Dateiordner aufgefallen C:\cmdcons Erstellt Freitag, 18. November 2011, 17:25:43 Dort sind *.sy_, *.dll, *.dl_, *.exe usw. Dateien und ein Unterordner System32. Dann noch was zu Deiner Antwort: Zitat:
Ach und zu guter letzt, bei A0032306.exe steht das gleiche wie bei der javaw.exe: a variant of MSIL/Agent.BI trojan Ein Arbeitskollege hat heute schon zu mir gemeint, ich solle hier abbrechen und er würde eine aktualisierte Boot-CD/DVD von GData brennen und am Do. mitbringen und wir würden Laptop damit mal scannen. Der findet doch auch nicht alles. Oder? Sorry das ich so wirr schreibe, mir sind halt die Punkte so eingefallen wo ich denke sicherheitshalber noch mal nachfragen. Vielen Dank Heiko |
21.11.2011, 22:32 | #30 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | C:\dir\install\install\Windows Update.exeZitat:
Zitat:
In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu C:\dir\install\install\Windows Update.exe |
anleitung, antivirus, avast, beendet, booten, c:\dir\install\install\windows update.exe, deaktiviert, desktop, einstellungen, ergebnis, exe-datei, festgestellt, gmer, hintergrund, install, lan-kabel, leute, log-datei, löschen, neu, neustart., ordner, problem, programm, starten, tan, update.exe, version, windows, wlan |