Hallo Trojaner-Board
Ich schreibe erstmals in dieses Forum
Ich habe heute mit Malwarebytes' Anti-Malware einen vollständigen Suchlauf durchgeführt wobei 15 mit Adware infizierte Dateien gefunden wurden (siehe Anhang). Sind die Adware nun ganz weg oder bedarf es weiterer Aktionen um Alles davon zu entfernen?
Bei einem Quickscan einen Tag zuvor wurde eine Adware gefunden und entfernt.
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 8326
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
07.12.2011 22:58:29
mbam-log-2011-12-07 (22-58-12).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 421326
Laufzeit: 1 Stunde(n), 53 Minute(n), 56 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\dokumente und einstellungen\all users\dokumente\dsbmx1013.exe (Adware.Rabio) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\pkp-adn.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\pkp-adu-4.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\pkp-bcd-4.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\pkp-bcdu.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\pkp-bdu-4.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\sncf_wasteels.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\desktop\downgeloadet\dsb litra a 1966 v.1.09.exe (Adware.Rabio) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\desktop\downgeloadet\dsb litra b 1964-66.exe (Adware.Rabio) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\desktop\downgeloadet\tp_110_1bl3la.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\desktop\downgeloadet\CPB600.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\desktop\downgeloadet\CPEkklo.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\desktop\downgeloadet\CPEkkls.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\desktop\msts-backup\rollmaterial\lokomotiven\Elektro\tp_110_1bl3.exe (Adware.Onlinegames) -> No action taken.
c:\dokumente und einstellungen\all users\dokumente\desktop\msts-backup\rollmaterial\Wagen\Personen\sbb_ric_tee.exe (Adware.Onlinegames) -> No action taken.
|
Und;
Bei einem Scan mit dem Trend Micro RootKit Buster wurde neun mal eine identische Datei gefunden (siehe Anhang). Durch Suche im internet konnte Ich erfahren das Diese zu PixArt, der Software meiner VGA USB WebCam gehört. Taucht Diese nun im RootKit-Scan auf weil "von Aussen" versucht wurde auf meine WebCam zuzugreifen?
Zitat:
+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 3.60.0.1016
| Computer Name:
| User Name: Administrator
+----------------------------------------------------
--== Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\ ==--
No hidden files found.
--== Dump Hidden Registry Value on HKLM ==--
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\685D6D1C-D73A-4F37-B7E5E53660311DDB
SubKey : 685D6D1C-D73A-4F37-B7E5E53660311DDB
FullLength: 0x3f
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\685D6D1C-D73A-4F37-B7E5E53660311DDB
SubKey : 685D6D1C-D73A-4F37-B7E5E53660311DDB
FullLength: 0x3f
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\685D6D1C-D73A-4F37-B7E5E53660311DDB
SubKey : 685D6D1C-D73A-4F37-B7E5E53660311DDB
FullLength: 0x3f
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\685D6D1C-D73A-4F37-B7E5E53660311DDB
SubKey : 685D6D1C-D73A-4F37-B7E5E53660311DDB
FullLength: 0x3f
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\685D6D1C-D73A-4F37-B7E5E53660311DDB
SubKey : 685D6D1C-D73A-4F37-B7E5E53660311DDB
FullLength: 0x3f
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\685D6D1C-D73A-4F37-B7E5E53660311DDB
SubKey : 685D6D1C-D73A-4F37-B7E5E53660311DDB
FullLength: 0x3f
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\685D6D1C-D73A-4F37-B7E5E53660311DDB
SubKey : 685D6D1C-D73A-4F37-B7E5E53660311DDB
FullLength: 0x3f
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\685D6D1C-D73A-4F37-B7E5E53660311DDB
SubKey : 685D6D1C-D73A-4F37-B7E5E53660311DDB
FullLength: 0x3f
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SOFTWARE\685D6D1C-D73A-4F37-B7E5E53660311DDB
SubKey : 685D6D1C-D73A-4F37-B7E5E53660311DDB
FullLength: 0x3f
9 hidden registry entries found.
--== Dump Hidden Process ==--
No hidden processes found.
--== Dump Hidden Driver ==--
No hidden drivers found.
--== Service Win32 API Hook List ==--
[HOOKED_SERVICE_API]:
Service API : ZwCreateKey
Image Path :
OriginalHandler : 0x80578ab4
CurrentHandler : 0xf7f7f166
ServiceNumber : 0x29
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateThread
Image Path :
OriginalHandler : 0x80584d39
CurrentHandler : 0xf7f7f15c
ServiceNumber : 0x35
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwDeleteKey
Image Path :
OriginalHandler : 0x8059a5c9
CurrentHandler : 0xf7f7f16b
ServiceNumber : 0x3f
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwDeleteValueKey
Image Path :
OriginalHandler : 0x805991e8
CurrentHandler : 0xf7f7f175
ServiceNumber : 0x41
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwLoadKey
Image Path :
OriginalHandler : 0x805b8287
CurrentHandler : 0xf7f7f17a
ServiceNumber : 0x62
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenProcess
Image Path :
OriginalHandler : 0x8057f93a
CurrentHandler : 0xf7f7f148
ServiceNumber : 0x7a
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenThread
Image Path :
OriginalHandler : 0x80596743
CurrentHandler : 0xf7f7f14d
ServiceNumber : 0x80
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwReplaceKey
Image Path :
OriginalHandler : 0x806571a8
CurrentHandler : 0xf7f7f184
ServiceNumber : 0xc1
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwRestoreKey
Image Path :
OriginalHandler : 0x80656d3d
CurrentHandler : 0xf7f7f17f
ServiceNumber : 0xcc
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetValueKey
Image Path :
OriginalHandler : 0x80580088
CurrentHandler : 0xf7f7f170
ServiceNumber : 0xf7
ModuleName :
SDTType : 0x0
--== Dump Hidden Port ==--
No hidden ports found.
--== Dump Kernel Code Patching ==--
No kernel code patching detected.
--== Dump Hidden Services ==--
No hidden services found.
|
Besten Dank im Vorraus für die Hilfe!
LonelySea
08.12.2011, 00:17
Baum-Darstellung