Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Log-Analyse und Auswertung: FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 3 von 4 12 3 4
Alt 31.01.2012, 22:41   #31
RobinSword
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Zitat:
Zitat von cosinus Beitrag anzeigen
Ist das noch ein altes Log?
Ups? Hää? Stimmt, da steht ja 27.01. Das gibt's doch gar nicht...
Und das neue Logfile find ich nicht. Hab ich's etwa nicht richtig gespeichert?
Na dann muss ich den Suchlauf wohl nochmal komplett durchführen. *grummel*

Alt 31.01.2012, 22:46   #32
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Na hat MBAM denn was gefunden?
__________________

__________________
Alt 31.01.2012, 23:44   #33
RobinSword
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Hier nun das aktuelle Malwarebytes-Logfile:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.01.31.08

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
ROBBY :: MARYPC [Administrator]

Schutz: Aktiviert

31.01.2012 22:51:20
mbam-log-2012-01-31 (23-39-42).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 379190
Laufzeit: 47 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\Windows Live\Messenger\riched20.dll (PUP.FunWebProducts) -> Keine Aktion durchgeführt.

(Ende)
__________________
Alt 01.02.2012, 01:27   #34
RobinSword
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Und hier das Logfile von SUPERAntiSpyware:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/01/2012 at 01:20 AM

Application Version : 5.0.1142

Core Rules Database Version : 8185
Trace Rules Database Version: 5997

Scan type       : Complete Scan
Total Scan Time : 01:35:00

Operating System Information
Windows 7 Home Premium 64-bit (Build 6.01.7600)
UAC Off - Administrator

Memory items scanned      : 554
Memory threats detected   : 0
Registry items scanned    : 43097
Registry threats detected : 142
File items scanned        : 177454
File threats detected     : 37

Adware.MyWebSearch/FunWebProducts
	(x86) HKU\S-1-5-21-641389565-4050084948-2449944448-1003\SOFTWARE\FunWebProducts
	(x86) HKCR\Interface\{07B18EAC-A523-4961-B6BB-170DE4475CCA}
	(x86) HKCR\Interface\{07B18EAC-A523-4961-B6BB-170DE4475CCA}\ProxyStubClsid32
	(x86) HKCR\Interface\{07B18EAC-A523-4961-B6BB-170DE4475CCA}\TypeLib
	(x86) HKCR\Interface\{07B18EAC-A523-4961-B6BB-170DE4475CCA}\TypeLib#Version
	(x86) HKCR\Interface\{120927BF-1700-43BC-810F-FAB92549B390}
	(x86) HKCR\Interface\{120927BF-1700-43BC-810F-FAB92549B390}\ProxyStubClsid32
	(x86) HKCR\Interface\{120927BF-1700-43BC-810F-FAB92549B390}\TypeLib
	(x86) HKCR\Interface\{120927BF-1700-43BC-810F-FAB92549B390}\TypeLib#Version
	(x86) HKCR\Interface\{1F52A5FA-A705-4415-B975-88503B291728}
	(x86) HKCR\Interface\{1F52A5FA-A705-4415-B975-88503B291728}\ProxyStubClsid32
	(x86) HKCR\Interface\{1F52A5FA-A705-4415-B975-88503B291728}\TypeLib
	(x86) HKCR\Interface\{1F52A5FA-A705-4415-B975-88503B291728}\TypeLib#Version
	(x86) HKCR\Interface\{247A115F-06C2-4FB3-967D-2D62D3CF4F0A}
	(x86) HKCR\Interface\{247A115F-06C2-4FB3-967D-2D62D3CF4F0A}\ProxyStubClsid32
	(x86) HKCR\Interface\{247A115F-06C2-4FB3-967D-2D62D3CF4F0A}\TypeLib
	(x86) HKCR\Interface\{247A115F-06C2-4FB3-967D-2D62D3CF4F0A}\TypeLib#Version
	(x86) HKCR\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
	(x86) HKCR\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}\ProxyStubClsid32
	(x86) HKCR\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}\TypeLib
	(x86) HKCR\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}\TypeLib#Version
	(x86) HKCR\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}
	(x86) HKCR\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}\ProxyStubClsid32
	(x86) HKCR\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}\TypeLib
	(x86) HKCR\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}\TypeLib#Version
	(x86) HKCR\Interface\{3E720453-B472-4954-B7AA-33069EB53906}
	(x86) HKCR\Interface\{3E720453-B472-4954-B7AA-33069EB53906}\ProxyStubClsid32
	(x86) HKCR\Interface\{3E720453-B472-4954-B7AA-33069EB53906}\TypeLib
	(x86) HKCR\Interface\{3E720453-B472-4954-B7AA-33069EB53906}\TypeLib#Version
	(x86) HKCR\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}
	(x86) HKCR\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}\ProxyStubClsid32
	(x86) HKCR\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}\TypeLib
	(x86) HKCR\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}\TypeLib#Version
	(x86) HKCR\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
	(x86) HKCR\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}\ProxyStubClsid32
	(x86) HKCR\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}\TypeLib
	(x86) HKCR\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}\TypeLib#Version
	(x86) HKCR\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}
	(x86) HKCR\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}\ProxyStubClsid32
	(x86) HKCR\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}\TypeLib
	(x86) HKCR\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}\TypeLib#Version
	(x86) HKCR\Interface\{7473D295-B7BB-4F24-AE82-7E2CE94BB6A9}
	(x86) HKCR\Interface\{7473D295-B7BB-4F24-AE82-7E2CE94BB6A9}\ProxyStubClsid32
	(x86) HKCR\Interface\{7473D295-B7BB-4F24-AE82-7E2CE94BB6A9}\TypeLib
	(x86) HKCR\Interface\{7473D295-B7BB-4F24-AE82-7E2CE94BB6A9}\TypeLib#Version
	(x86) HKCR\Interface\{7473D297-B7BB-4F24-AE82-7E2CE94BB6A9}
	(x86) HKCR\Interface\{7473D297-B7BB-4F24-AE82-7E2CE94BB6A9}\ProxyStubClsid32
	(x86) HKCR\Interface\{7473D297-B7BB-4F24-AE82-7E2CE94BB6A9}\TypeLib
	(x86) HKCR\Interface\{7473D297-B7BB-4F24-AE82-7E2CE94BB6A9}\TypeLib#Version
	(x86) HKCR\Interface\{90449521-D834-4703-BB4E-D3AA44042FF8}
	(x86) HKCR\Interface\{90449521-D834-4703-BB4E-D3AA44042FF8}\ProxyStubClsid32
	(x86) HKCR\Interface\{90449521-D834-4703-BB4E-D3AA44042FF8}\TypeLib
	(x86) HKCR\Interface\{90449521-D834-4703-BB4E-D3AA44042FF8}\TypeLib#Version
	(x86) HKCR\Interface\{991AAC62-B100-47CE-8B75-253965244F69}
	(x86) HKCR\Interface\{991AAC62-B100-47CE-8B75-253965244F69}\ProxyStubClsid32
	(x86) HKCR\Interface\{991AAC62-B100-47CE-8B75-253965244F69}\TypeLib
	(x86) HKCR\Interface\{991AAC62-B100-47CE-8B75-253965244F69}\TypeLib#Version
	(x86) HKCR\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}
	(x86) HKCR\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}\ProxyStubClsid32
	(x86) HKCR\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}\TypeLib
	(x86) HKCR\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}\TypeLib#Version
	(x86) HKCR\Interface\{BBABDC90-F3D5-4801-863A-EE6AE529862D}
	(x86) HKCR\Interface\{BBABDC90-F3D5-4801-863A-EE6AE529862D}\ProxyStubClsid32
	(x86) HKCR\Interface\{BBABDC90-F3D5-4801-863A-EE6AE529862D}\TypeLib
	(x86) HKCR\Interface\{BBABDC90-F3D5-4801-863A-EE6AE529862D}\TypeLib#Version
	(x86) HKCR\Interface\{D6FF3684-AD3B-48EB-BBB4-B9E6C5A355C1}
	(x86) HKCR\Interface\{D6FF3684-AD3B-48EB-BBB4-B9E6C5A355C1}\ProxyStubClsid32
	(x86) HKCR\Interface\{D6FF3684-AD3B-48EB-BBB4-B9E6C5A355C1}\TypeLib
	(x86) HKCR\Interface\{D6FF3684-AD3B-48EB-BBB4-B9E6C5A355C1}\TypeLib#Version
	(x86) HKCR\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}
	(x86) HKCR\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}\ProxyStubClsid32
	(x86) HKCR\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}\TypeLib
	(x86) HKCR\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}\TypeLib#Version
	(x86) HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}
	(x86) HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}\ProxyStubClsid32
	(x86) HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}\TypeLib
	(x86) HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}\TypeLib#Version
	(x86) HKCR\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}
	(x86) HKCR\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}\ProxyStubClsid32
	(x86) HKCR\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}\TypeLib
	(x86) HKCR\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}\TypeLib#Version
	(x86) HKCR\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}
	(x86) HKCR\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}\ProxyStubClsid32
	(x86) HKCR\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}\TypeLib
	(x86) HKCR\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}\TypeLib#Version
	(x86) HKCR\Interface\{EB9E5C1C-B1F9-4C2B-BE8A-27D6446FDAF8}
	(x86) HKCR\Interface\{EB9E5C1C-B1F9-4C2B-BE8A-27D6446FDAF8}\ProxyStubClsid32
	(x86) HKCR\Interface\{EB9E5C1C-B1F9-4C2B-BE8A-27D6446FDAF8}\TypeLib
	(x86) HKCR\Interface\{EB9E5C1C-B1F9-4C2B-BE8A-27D6446FDAF8}\TypeLib#Version
	(x86) HKCR\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}
	(x86) HKCR\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}\ProxyStubClsid32
	(x86) HKCR\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}\TypeLib
	(x86) HKCR\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}\TypeLib#Version
	(x64) HKCR\Interface\{07B18EAA-A523-4961-B6BB-170DE4475CCA}
	(x64) HKCR\Interface\{07B18EAA-A523-4961-B6BB-170DE4475CCA}\ProxyStubClsid32
	(x64) HKCR\Interface\{07B18EAA-A523-4961-B6BB-170DE4475CCA}\TypeLib
	(x64) HKCR\Interface\{07B18EAA-A523-4961-B6BB-170DE4475CCA}\TypeLib#Version
	(x64) HKCR\Interface\{1093995A-BA37-41D2-836E-091067C4AD17}
	(x64) HKCR\Interface\{1093995A-BA37-41D2-836E-091067C4AD17}\ProxyStubClsid32
	(x64) HKCR\Interface\{1093995A-BA37-41D2-836E-091067C4AD17}\TypeLib
	(x64) HKCR\Interface\{1093995A-BA37-41D2-836E-091067C4AD17}\TypeLib#Version
	(x64) HKCR\Interface\{17DE5E5E-BFE3-4E83-8E1F-8755795359EC}
	(x64) HKCR\Interface\{17DE5E5E-BFE3-4E83-8E1F-8755795359EC}\ProxyStubClsid32
	(x64) HKCR\Interface\{17DE5E5E-BFE3-4E83-8E1F-8755795359EC}\TypeLib
	(x64) HKCR\Interface\{17DE5E5E-BFE3-4E83-8E1F-8755795359EC}\TypeLib#Version
	(x64) HKCR\Interface\{2E3537FC-CF2F-4F56-AF54-5A6A3DD375CC}
	(x64) HKCR\Interface\{2E3537FC-CF2F-4F56-AF54-5A6A3DD375CC}\ProxyStubClsid32
	(x64) HKCR\Interface\{2E3537FC-CF2F-4F56-AF54-5A6A3DD375CC}\TypeLib
	(x64) HKCR\Interface\{2E3537FC-CF2F-4F56-AF54-5A6A3DD375CC}\TypeLib#Version
	(x64) HKCR\Interface\{3E1656ED-F60E-4597-B6AA-B6A58E171495}
	(x64) HKCR\Interface\{3E1656ED-F60E-4597-B6AA-B6A58E171495}\ProxyStubClsid32
	(x64) HKCR\Interface\{3E1656ED-F60E-4597-B6AA-B6A58E171495}\TypeLib
	(x64) HKCR\Interface\{3E1656ED-F60E-4597-B6AA-B6A58E171495}\TypeLib#Version
	(x64) HKCR\Interface\{3E720451-B472-4954-B7AA-33069EB53906}
	(x64) HKCR\Interface\{3E720451-B472-4954-B7AA-33069EB53906}\ProxyStubClsid32
	(x64) HKCR\Interface\{3E720451-B472-4954-B7AA-33069EB53906}\TypeLib
	(x64) HKCR\Interface\{3E720451-B472-4954-B7AA-33069EB53906}\TypeLib#Version
	(x64) HKCR\Interface\{63D0ED2B-B45B-4458-8B3B-60C69BBBD83C}
	(x64) HKCR\Interface\{63D0ED2B-B45B-4458-8B3B-60C69BBBD83C}\ProxyStubClsid32
	(x64) HKCR\Interface\{63D0ED2B-B45B-4458-8B3B-60C69BBBD83C}\TypeLib
	(x64) HKCR\Interface\{63D0ED2B-B45B-4458-8B3B-60C69BBBD83C}\TypeLib#Version
	(x64) HKCR\Interface\{6E74766C-4D93-4CC0-96D1-47B8E07FF9CA}
	(x64) HKCR\Interface\{6E74766C-4D93-4CC0-96D1-47B8E07FF9CA}\ProxyStubClsid32
	(x64) HKCR\Interface\{6E74766C-4D93-4CC0-96D1-47B8E07FF9CA}\TypeLib
	(x64) HKCR\Interface\{6E74766C-4D93-4CC0-96D1-47B8E07FF9CA}\TypeLib#Version
	(x64) HKCR\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A}
	(x64) HKCR\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A}\ProxyStubClsid32
	(x64) HKCR\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A}\TypeLib
	(x64) HKCR\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A}\TypeLib#Version
	(x64) HKCR\Interface\{7473D291-B7BB-4F24-AE82-7E2CE94BB6A9}
	(x64) HKCR\Interface\{7473D291-B7BB-4F24-AE82-7E2CE94BB6A9}\ProxyStubClsid32
	(x64) HKCR\Interface\{7473D291-B7BB-4F24-AE82-7E2CE94BB6A9}\TypeLib
	(x64) HKCR\Interface\{7473D291-B7BB-4F24-AE82-7E2CE94BB6A9}\TypeLib#Version
	(x64) HKCR\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}
	(x64) HKCR\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}\ProxyStubClsid32
	(x64) HKCR\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}\TypeLib
	(x64) HKCR\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}\TypeLib#Version
	(x64) HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25E}
	(x64) HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25E}\ProxyStubClsid32
	(x64) HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25E}\TypeLib
	(x64) HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25E}\TypeLib#Version
	C:\PROGRAM FILES (X86)\WINDOWS LIVE\MESSENGER\RICHED20.DLL

Adware.Tracking Cookie
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\P02P1YDE.txt [ /ad3.adfarm1.adition.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\2F09BS39.txt [ /zanox-affiliate.de ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\6GNA6VYE.txt [ /webmasterplan.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\9PQRSYFB.txt [ /ad.zanox.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\S84C2I1J.txt [ /specificclick.net ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\SERJQOZ5.txt [ /adfarm1.adition.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\ZOM0BMOP.txt [ /2o7.net ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\KN67WXJJ.txt [ /zanox.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\5T1RIW0Y.txt [ /im.banner.t-online.de ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\ZVJN4V5Q.txt [ /adviva.net ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\AEPA9FVL.txt [ /doubleclick.net ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\ZTJRMQNF.txt [ /kaspersky.122.2o7.net ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\SN4JDJ9C.txt [ /c.atdmt.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\H5UQFR72.txt [ /tribalfusion.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\DDJE9C9V.txt [ /xiti.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\M82RNWJJ.txt [ /ads.bleepingcomputer.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\GWJ13X2B.txt [ /invitemedia.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\32XDPH9J.txt [ /atdmt.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\SGRDGHRT.txt [ /ad2.adfarm1.adition.com ]
	C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Cookies\7S4EHVK7.txt [ /kontera.com ]
	C:\USERS\ROBBY\Cookies\P02P1YDE.txt [ Cookie:robby@ad3.adfarm1.adition.com/ ]
	C:\USERS\ROBBY\Cookies\9PQRSYFB.txt [ Cookie:robby@ad.zanox.com/ ]
	C:\USERS\ROBBY\Cookies\S84C2I1J.txt [ Cookie:robby@specificclick.net/ ]
	C:\USERS\ROBBY\Cookies\ZOM0BMOP.txt [ Cookie:robby@2o7.net/ ]
	C:\USERS\ROBBY\Cookies\KN67WXJJ.txt [ Cookie:robby@zanox.com/ ]
	C:\USERS\ROBBY\Cookies\5T1RIW0Y.txt [ Cookie:robby@im.banner.t-online.de/ ]
	C:\USERS\ROBBY\Cookies\ZVJN4V5Q.txt [ Cookie:robby@adviva.net/ ]
	C:\USERS\ROBBY\Cookies\AEPA9FVL.txt [ Cookie:robby@doubleclick.net/ ]
	C:\USERS\ROBBY\Cookies\ZTJRMQNF.txt [ Cookie:robby@kaspersky.122.2o7.net/ ]
	C:\USERS\ROBBY\Cookies\SN4JDJ9C.txt [ Cookie:robby@c.atdmt.com/ ]
	C:\USERS\ROBBY\Cookies\H5UQFR72.txt [ Cookie:robby@tribalfusion.com/ ]
	C:\USERS\ROBBY\Cookies\DDJE9C9V.txt [ Cookie:robby@xiti.com/ ]
	C:\USERS\ROBBY\Cookies\GWJ13X2B.txt [ Cookie:robby@invitemedia.com/ ]
	C:\USERS\ROBBY\Cookies\32XDPH9J.txt [ Cookie:robby@atdmt.com/ ]
	C:\USERS\ROBBY\Cookies\SGRDGHRT.txt [ Cookie:robby@ad2.adfarm1.adition.com/ ]
	C:\USERS\ROBBY\Cookies\7S4EHVK7.txt [ Cookie:robby@kontera.com/ ]

Browser Hijacker.Deskbar
	(x64) HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}

Alt 01.02.2012, 08:30   #35
RobinSword
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Und der ESET Online Scanner hat nur diesen einen Fund gemeldet:

Code:
ATTFilter
C:\Program Files (x86)\Windows Live\Messenger\riched20.dll	Win32/Toolbar.MyWebSearch application


Alt 01.02.2012, 11:27   #36
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Das sind nur noch Überreste und Cookies. Bitte alles entfernen.
Rechner ansonsten wieder soweit ok?
__________________
--> FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid

Alt 01.02.2012, 14:21   #37
RobinSword
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Zitat:
Zitat von cosinus Beitrag anzeigen
Das sind nur noch Überreste und Cookies. Bitte alles entfernen.
Mit welchem Tool soll ich vorzugsweise entfernen? MBAM oder SUPERAntiSpyware? Oder mit beiden? In welcher Reihenfolge?

Zitat:
Zitat von cosinus Beitrag anzeigen
Rechner ansonsten wieder soweit ok?
Alles ok, bis darauf, dass sich die Windows-Firewall nach wie vor nicht aktivieren lässt. Vermutlich irgendwie verbogen? Gibt's ein Windows-Firewall-Repair-Programm?

edit: Noch eine Auffälligkeit: Beim Herunterfahren möchte Windows immer 6 Updates installieren. Das macht es auch, dann wird der Rechner ausgeschaltet. Nur nach dem Hochfahren geht das Gleiche wieder von vorne los. Es will beim Herunterfahren immer diese 6 Updates installieren. Hängt da irgendwie in einer Endlos-Loop.
Geändert von RobinSword (01.02.2012 um 14:35 Uhr)

Alt 01.02.2012, 15:17   #38
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Die jew. Funde vom jew. Programm sollten IMHO auch mit dem jew. Programm entfernt werden

Zu den Updates, ja da müsste man schonmal wissen was für Updates das sind. Vllt mal die Bezeichnung (KB1234567) aller 6 Updates durchgeben
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.02.2012, 11:49   #39
RobinSword
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


So, kurzes Status-Update:
- PC ist wieder clean
- Das Windows Update Problem hat sich auch erledigt, nachdem ich jetzt das SP1 für Win7 installiert hab

Das einzige, verbleibende Problem ist, dass sich die Windows-Firewall nach wie vor nicht aktivieren lässt.
Ich habe das Problem jetzt auch mal genauer untersucht und festgestellt, dass der Trojaner offensichtlich ein paar Dienste zerstört hat, u.a. auch den Dienst Windows-Firewall. Die Dienste wurden gar nicht mehr unter services.msc aufgelistet. Ein Blick in die Registry zeigte dann auch warum: der Trojaner hat offensichtlich unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services gewütet und dort komplette Schlüssel geleert.

Die geleerten Schlüssel hab ich nun wiederhergestellt, indem ich von einem gesunden Win7-System die Schlüssel exportiert und hier wieder importiert habe. Die Dienste sind nun wieder da, laufen auch zum großen Teil. Nur der Windows-Firewall-Dienst lässt sich immer noch nicht starten. Grund ist wohl der abhängige Basisfilterdienst, der sich mit der Meldung "Zugriff verweigert" nicht starten lässt. Vermutlich hat der Trojaner auch etwas an den Registry-Berechtigungen geändert...

Langer Rede, kurzer Sinn: Gibt es evtl. ein Tool, mit dem man die Standard-Windows-Dienste reparieren bzw. zurücksetzen kann? Oder habt ihr Erfahrungen, was man in einem solchen Fall am besten macht?

Alt 02.02.2012, 16:31   #40
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Zitat:
Langer Rede, kurzer Sinn: Gibt es evtl. ein Tool, mit dem man die Standard-Windows-Dienste reparieren bzw. zurücksetzen kann? Oder habt ihr Erfahrungen, was man in einem solchen Fall am besten macht?
Ein Tool kenn ich incht, aber mit regedit kannst du auch die Berechtigungen sehen und editieren.
Deine Vorgehensweise war übrigens nicht verkehrt, ich hätte es wohl auch mit einem Regexport und -import gemacht
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.02.2012, 16:44   #41
RobinSword
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Der Export/Import hat funktioniert. Allerdings lässt sich ein Dienst immer noch nicht Starten: Der Dienst Basisfiltermodul.
Solange der nicht läuft, wird auch der Windows-Firewall-Dienst nicht laufen, weil er von ihm abhängig ist.

Versuche ich den Basisfiltermodul-Dienst zu starten, so bekomme ich "Fehler 5: Zugriff verweigert". Ich schließe daraus, dass etwas an den Berechtigungen auf die Registry-Schlüssel geändert wurde. Ich hab es schon mit subinacl versucht, aber irgendwie klappt's nicht.

Habt ihr vielleicht wo ein Script auf Lager, mit dem man sämtliche Berechtigungen auf die Schlüssel unterhalb von HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services wieder so setzen kann, wie es sein sollte?

Alt 02.02.2012, 16:52   #42
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Nee so ein script hab ich nicht, überprüf doch mal mit regedit erst die Berechtungen dieses Schlüssels
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.02.2012, 13:53   #43
RobinSword
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Ich hab's geschafft! Die Firewall läuft wieder!

Ich hab den Basisfiltermodul Dienst wieder zum Laufen bekommen und nachdem dieser lief, lief auch die Firewall wieder!

Der entscheidende Trick ist: Es reicht nicht aus, lediglich den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE frisch zu importieren, man muss auch die Berechtigungen korrekt setzen!

Man muss nämlich dem Benutzer "NT Service\BFE" Vollzugriff auf diesen Schlüssel erteilen! Ist dies nicht der Fall bekommt man eben die Meldung "Fehler 5: Zugriff verweigert".

Wie man das machen kann ist hier beschrieben: www.gandalf.net/firewall/
Den Link sollte man sich merken! Ist sicher auch für euch Helfer nützlich, falls ihr mal wieder den Fall habt, dass ein Trojaner Dienste gelöscht oder zerstört hat.

An dieser Stelle jetzt mal noch offiziell meinen herzlichsten Dank für die kompetente Hilfe!

Alt 03.02.2012, 14:08   #44
RobinSword
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Die o.g. Lösung hätte übrigens auch hier geholfen:
http://www.trojaner-board.de/56907-t...ehler-5-a.html

(Sorry für URL-Pasting, aber wie verlinkt man in diesem Forum denn korrekt? Wenn ich den "Link einfügen"-Button benutze, setzt dieser zwar die url-Tags, aber Auswirkungen hat es keine...
Nachtrag: Aaahh.. Intern auf Threads kann man wohl verlinken, aber auf externe Links??)

Alt 03.02.2012, 14:55   #45
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Standard

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


Danke für die Info
Dass es ein Berechtigungsproblem ist, hab ich vermutet, schön von dir, dass du gleich einen Link postest wie man diese wieder richtig setzt!


Nein externe Links darfst du hier setzen, jedenfalls nicht klickbar.
Und naja, der Strang ist da von Mitte 2008 also fast vier Jahre alt

Wenn ich dich richtig verstehe ist nun wieder alles i.O.?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort
Seite 3 von 4 12 3 4

Themen zu FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid
aktuelle, avg, dateien, deaktiviert, defekt, desktop, fakealert, forum, gen, hallo zusammen, icons, infektion, laptop, logfiles, mehrere trojaner, meldungen, scan, scannen, security, sicherstellen, signaturen, stinger, systemwarnungen, systemwiederherstellung, trojaner, trotz, win


« 100 Euro Windows Security Center-Verzweiflungsscheisse | 50euro virus »


Ähnliche Themen: FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid


  1. Win32:Malware-gen und Trojan.Win32.WinloadSDA.dewcdw und PUA.Win32.Packer.Upx-28 - falsch positive Meldungen?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2014 (1)
  2. Trojaner eingefangen Trojan:Win32/FakeSysdef
    Plagegeister aller Art und deren Bekämpfung - 11.05.2012 (1)
  3. Trojan:Win32/Fakesysdef, Win32/FakeRean und TrojanDownloader:Win32/Karagany.G
    Log-Analyse und Auswertung - 05.01.2012 (2)
  4. Trojan:Win32/Fakesysdef und TrojanDownloader:Win32/Karagany.G
    Plagegeister aller Art und deren Bekämpfung - 25.11.2011 (1)
  5. Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FE
    Plagegeister aller Art und deren Bekämpfung - 30.10.2011 (4)
  6. win32/fakesysdef
    Plagegeister aller Art und deren Bekämpfung - 27.09.2011 (2)
  7. Win32/FakeSysdef eingefangen
    Plagegeister aller Art und deren Bekämpfung - 24.07.2011 (2)
  8. Trojan:Win32/FakeSysdef
    Plagegeister aller Art und deren Bekämpfung - 24.07.2011 (11)
  9. Alureon-G@mbr / Win32:FakeAlert-AHH
    Log-Analyse und Auswertung - 26.05.2011 (1)
  10. Trojan:Win32/FakeSysdef - wie entferne ich das mit MSE?
    Plagegeister aller Art und deren Bekämpfung - 16.05.2011 (18)
  11. Trojan:Win32/FakeSysdef - wie entferne ich ihn?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2011 (13)
  12. Backdoor:Win32/Cbot.B - Trojan:Win32/FakeSysdef
    Log-Analyse und Auswertung - 04.05.2011 (32)
  13. Win32.FakeAlert.ttam und Win32.Palevo mit Spybot
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (25)
  14. Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt
    Plagegeister aller Art und deren Bekämpfung - 10.03.2011 (4)
  15. Trojan:win32/Fakesysdef auf meinem PC gelandet - wie kann ich ihn entfernen?
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (1)
  16. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  17. FakeAlert Trojan-Spy.Win32.GreenScreen etc.
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid - Zitat: Zitat von cosinus Ist das noch ein altes Log? Ups? Hää? Stimmt, da steht ja 27.01. Das gibt's doch gar nicht... Und das neue Logfile find ich nicht. Hab - FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid...
Archiv
Du betrachtest: FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131