| |
| |||||||
Log-Analyse und Auswertung: 50 EUR Trojaner / ubd.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.03.2012, 18:46
| #1 |
 |  50 EUR Trojaner / ubd.exe Guten Tag, ich habe z.Z. den Rechner eines Freundes zwecks "Entwanzung" hier stehen. Er hat vor einer Weile die bekannte 50 EUR Zahlungaufforderung beim Systemstart gehabt. Er hat dann eine Zeit lang mit dem (parallel installierten) alten Win XP gearbeitet. Nach einer Weile lief auch das Win7 wieder (soweit kenne ich das leider nur als mündliche Schilderung). Ich habe erstmal die Desinfec't 2011 CD laufen lassen (genauer: Avira Antivirus und Bitdefender). Leider hat sie sich in unregelmäßigen Abständen aufgehängt, so das ich nicht mehr genau weiß was wo gefunden wurde (es wurden diverse Dateien angemeckert, soweit ich mich erinnere im Java cache und im temp Ordner). Die betroffenen Dateien habe ich gelöscht. Im Anschuss habe ich die aktuelle Kaspersky Rescue CD im Textmodus laufen lassen. Dabei wurde Nichts mehr gefunden. Das System läuft jetzt wieder (XP und 7), aber ich traue dem Braten nicht ganz. Stutzig gemacht hat mich der Prozess "ubd.exe" im Taskmanager. Lt. Google könnte er zu Apple ITunes bzw. dem IPod Support gehören. Hier im Board gabe es aber auch einen Hinweis auf einen Trojaner/Downloader. Also habe ich (zusätzlich zum bereits vorhandenen NOD32) Malwarebytes Anti-Malware installiert und einen vollständigen Scan ausgeführt. Log: Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.03.09.05 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Georg :: GEORGS-PC [Administrator] Schutz: Aktiviert 09.03.2012 15:51:39 mbam-log-2012-03-09 (17-09-31).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 366541 Laufzeit: 1 Stunde(n), 16 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 c:\users\georg\appdata\local\temp\qtinstallcode.log (Extension.Mismatch) -> Keine Aktion durchgeführt. (Ende) Vermutlich eher unkritisch. Trotzdem würde ich mich sehr freuen wenn sich das jemand ansehen könnte der richtig Ahnung von der Materie hat. DDS Log: .DDS Logfile: Code:
ATTFilter DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_31
Run by Georg at 17:25:40 on 2012-03-09
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.958.283 [GMT 1:00]
.
AV: ESET NOD32 Antivirus 4.2 *Enabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
SP: ESET NOD32 Antivirus 4.2 *Enabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Common Files\Apple\Internet Services\ubd.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program Files\Common Files\Apple\Apple Application Support\distnoted.exe
C:\Windows\system32\conhost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe -k swprv
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
.
============== Pseudo HJT Report ===============
.
uSearch Page = hxxp://www.google.com
uStart Page = about:blank
uSearch Bar = hxxp://www.google.com/ie
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
uRun: [TomTomHOME.exe] "c:\program files\tomtom home 2\TomTomHOMERunner.exe" -s
uRun: [MobileDocuments] c:\program files\common files\apple\internet services\ubd.exe
mRun: [egui] "c:\program files\eset\eset nod32 antivirus\egui.exe" /hide /waitservice
mRun: [CanonMyPrinter] c:\program files\canon\myprinter\BJMyPrt.exe /logon
mRun: [AppleSyncNotifier] c:\program files\common files\apple\mobile device support\AppleSyncNotifier.exe
mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\wg111v~1.lnk - c:\program files\netgear\wg111v2 configuration utility\RtlWake.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
Trusted Zone: microsoft.com\*.update
Trusted Zone: microsoft.com\update
Trusted Zone: windowsupdate.com\download
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{80E7C3D2-16F0-4229-B2DE-D93A18881F54} : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{DF7F8843-065F-48CA-B475-E779C2DD6CD4} : DhcpNameServer = 192.168.178.1
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\georg\appdata\roaming\mozilla\firefox\profiles\1ohbrm5s.default\
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\canon\easy-photoprint ex\NPEZFFPI.DLL
FF - plugin: c:\program files\google\picasa3\npPicasa3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npjp2.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
.
============= SERVICES / DRIVERS ===============
.
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928]
R2 eamonm;eamonm;c:\windows\system32\drivers\eamonm.sys [2010-12-21 137144]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [2011-11-20 66048]
R2 ekrn;ESET Service;c:\program files\eset\eset nod32 antivirus\ekrn.exe [2011-1-12 810144]
R2 epfwwfpr;epfwwfpr;c:\windows\system32\drivers\epfwwfpr.sys [2010-12-21 95384]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-3-9 652360]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\tomtom home 2\TomTomHOMEService.exe [2011-3-9 92592]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-3-9 20464]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 RTL8187;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v2.sys [2011-11-20 167808]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [2011-11-20 167808]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-3-6 52224]
.
=============== Created Last 30 ================
.
2012-03-09 14:46:37 -------- d-----w- c:\users\georg\appdata\roaming\Malwarebytes
2012-03-09 14:46:31 -------- d-----w- c:\programdata\Malwarebytes
2012-03-09 14:46:30 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-09 14:46:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-03-09 14:27:29 56200 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{e0322189-384e-47a6-a7cd-457929ca3018}\offreg.dll
2012-03-09 14:09:40 -------- d-----w- c:\users\georg\appdata\local\WindowsUpdate
2012-03-09 13:57:28 476904 ----a-w- c:\program files\mozilla firefox\plugins\npdeployJava1.dll
2012-03-09 13:40:22 626688 ----a-w- c:\program files\mozilla firefox\msvcr80.dll
2012-03-09 13:40:22 548864 ----a-w- c:\program files\mozilla firefox\msvcp80.dll
2012-03-09 13:40:22 479232 ----a-w- c:\program files\mozilla firefox\msvcm80.dll
2012-03-09 13:40:22 45016 ----a-w- c:\program files\mozilla firefox\mozutils.dll
2012-03-09 11:03:51 -------- d-----w- c:\program files\iPod
2012-03-09 11:03:43 -------- d-----w- c:\program files\iTunes
2012-03-09 10:14:45 6552120 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{e0322189-384e-47a6-a7cd-457929ca3018}\mpengine.dll
2012-02-16 09:47:20 478720 ----a-w- c:\windows\system32\timedate.cpl
2012-02-16 09:47:01 690688 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-16 09:46:51 442880 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-16 09:46:48 2343424 ----a-w- c:\windows\system32\win32k.sys
.
==================== Find3M ====================
.
2012-03-09 13:57:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-03-09 13:48:07 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
2011-12-14 03:04:54 1798656 ----a-w- c:\windows\system32\jscript9.dll
2011-12-14 02:57:18 1127424 ----a-w- c:\windows\system32\wininet.dll
2011-12-14 02:56:58 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-14 02:50:04 2382848 ----a-w- c:\windows\system32\mshtml.tlb
.
============= FINISH: 17:26:03,39 ===============
Vor dem GMER Scan habe ich per Taskmanger einige Dienst/Prozesse gestoppt: AntiMalware, alle Apple Dienste, Java und Adode Updater (NOD32 ließ sich nicht stoppen). DDS attach.log und GMER.log im Anhang. Danke, Klaus |
| Themen zu 50 EUR Trojaner / ubd.exe |
| acrobat update, administrator, adobe, antivirus, avira, bonjour, dateisystem, defender, desinfec't, eset nod32, explorer, extension.mismatch, firefox, gmer.log, google, heuristiks/extra, heuristiks/shuriken, home, kaspersky, log, mozilla, netgear, ordner, pdf, picasa, plug-in, prozess, realtek, rescue cd, scan, svchost.exe, temp, trojaner, usb, usb 2.0, vista, windows 7 home, windows 7 home premium, wmp |
Baum-Darstellung