| |
| |||||||
Log-Analyse und Auswertung: BKA Warnung ...Trojaner verweist auf eine PornoseiteWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
19.01.2012, 10:39
| #1 |
 |  BKA Warnung ...Trojaner verweist auf eine Pornoseite Combofix Logfile: Code:
ATTFilter ComboFix 12-01-18.04 - Toro 19.01.2012 10:23:01.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.712 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Toro\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-12-19 bis 2012-01-19 ))))))))))))))))))))))))))))))
.
.
2012-01-18 10:03 . 2012-01-18 10:03 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-01-17 20:11 . 2012-01-17 20:11 -------- d-----w- C:\_OTL
2012-01-16 22:22 . 2012-01-16 22:22 -------- d-----w- c:\programme\ESET
2012-01-15 11:36 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-01-15 11:36 . 2012-01-15 11:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-01-14 17:47 . 2012-01-14 17:47 -------- d-----w- c:\programme\Euro Truck Simulator
2012-01-14 15:39 . 2012-01-14 15:39 -------- d-----w- c:\dokumente und einstellungen\Toro\Anwendungsdaten\Malwarebytes
2012-01-14 15:39 . 2012-01-14 15:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-01-14 13:42 . 2012-01-14 13:42 -------- d-----w- c:\dokumente und einstellungen\Toro\Lokale Einstellungen\Anwendungsdaten\PackageAware
2012-01-05 19:41 . 2012-01-05 19:41 -------- d-----w- c:\dokumente und einstellungen\Toro\Anwendungsdaten\Der Planer 4
2012-01-05 19:25 . 2012-01-05 19:40 -------- d-----w- c:\programme\Der Planer 4
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-25 21:57 . 2006-02-28 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2006-02-28 12:00 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2006-02-28 12:00 61952 ----a-w- c:\windows\system32\packager.exe
2011-11-14 06:23 . 2011-06-01 05:17 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-04 19:13 . 2006-02-28 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2006-02-28 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2006-02-28 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2006-02-28 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-11-03 15:28 . 2006-02-28 12:00 387072 ----a-w- c:\windows\system32\qdvd.dll
2011-11-03 15:28 . 2006-02-28 12:00 1297920 ----a-w- c:\windows\system32\quartz.dll
2011-11-01 16:07 . 2006-02-28 12:00 1288704 ----a-w- c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2006-02-28 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2006-02-28 12:00 2151424 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 10:49 . 2004-08-04 00:50 2029568 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-12-21 07:42 . 2012-01-15 14:33 121816 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-10 16384000]
"SkyTel"="SkyTel.EXE" [2007-08-03 1826816]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]
"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]
"CamMonitor"="c:\programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe" [2002-10-06 90112]
"Share-to-Web Namespace Daemon"="c:\programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Toro\Startmenü\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2010-5-1 679936]
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
Reminder-hpc40415.lnk - c:\programme\HP PhotoSmart\C200-Kamera\Registration\Remind32.exe [2010-5-10 68608]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\Samsung\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"c:\\Programme\\Samsung\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.05.2010 17:33 136360]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [29.06.2011 09:36 428200]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [21.01.2011 14:13 135664]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [01.05.2010 15:52 15104]
S3 FXDrv32;FXDrv32;\??\d:\fxdrv32.sys --> d:\FXDrv32.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [21.01.2011 14:13 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [18.01.2012 11:03 40776]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\programme\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08.01.2009 08:38 4136960]
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-01-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-21 13:13]
.
2012-01-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-21 13:13]
.
2012-01-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1935655697-1770027372-725345543-1003Core.job
- c:\dokumente und einstellungen\Toro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-09-25 19:53]
.
2012-01-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1935655697-1770027372-725345543-1003UA.job
- c:\dokumente und einstellungen\Toro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-09-25 19:53]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com
mStart Page = hxxp://de.yahoo.com
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Toro\Anwendungsdaten\Mozilla\Firefox\Profiles\xr0mrspl.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Yahoo
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
HKLM-Run-ApnUpdater - c:\programme\Ask.com\Updater\Updater.exe
AddRemove-FRITZ!DSL - c:\windows\IsUn0407.exe
AddRemove-HP PhotoSmart C200 Camera Software - c:\windows\IsUn0407.exe
AddRemove-HP PhotoSmart Photo Printing Software - c:\windows\IsUn0407.exe
AddRemove-Ulead Photo Explorer 4.2 Full - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-19 10:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b3,56,56,f2,28,21,ff,43,bc,dd,00,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b3,56,56,f2,28,21,ff,43,bc,dd,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(748)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2012-01-19 10:27:02
ComboFix-quarantined-files.txt 2012-01-19 09:27
.
Vor Suchlauf: 7 Verzeichnis(se), 126.025.031.680 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 125.980.598.272 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 31CEF20FF6642DCEEF767F4DA312DAA9
|
|
19.01.2012, 10:44
| #2 |
| | BKA Warnung ...Trojaner verweist auf eine Pornoseite hatte ein Problem beim Start von Combo-fix..
__________________es hatte mitgeteilt... dass Antivir aktiv ist... obwohl es deaktiviert war... habs dann nochmal überprüft.... aber Antivir war ausgeschaltet... Combofix schrieb.... dass es jetzt trotzdem mit aktivem Antivir starten wird.. hab ein Bild gemacht.. dass alles inaktiv war.... was ist schief gelaufen ?? .... kannst du das Log jetzt trotzdem brauchen ? |
|
| Themen zu BKA Warnung ...Trojaner verweist auf eine Pornoseite |
| 0x00000001, antivir, avira, bho, desktop, downloader, error, firefox, flash player, google, helper, intranet, langs, logfile, mozilla, mp3, object, plug-in, problem, programm, realtek, registry, safer networking, scan, security, software, system, trojaner, virus, warnung, windows internet, youtube downloader |
Hybrid-Darstellung
