| |
| |||||||
Log-Analyse und Auswertung: Gema Trojaner - logfiles im ThreadWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.03.2012, 20:45
| #1 |
 |  Gema Trojaner - logfiles im Thread Vorgeschichte: Vor ein paar Monaten den Gema Virus bei einer "serials"-Seite eingefangen. Sporadisch mit Virenscanner gelöscht. Danach Ruhe gehabt bis vor ein paar Tagen, Gema Virus taucht wieder auf. Wieder sporadisch mit AntiVir und Malwarebytes drangegangen. Soweit alles okay bis nach ein paar Neustarts AntiVir wieder anspringt und Virenmeldungen ausspuckt. LEIDER dann erst auf dieses Forum hier dank google aufmerksam geworden. Logfiles siehe unten. Info: Benutzt wird der Firefox, auch wenn der IE noch installiert ist. Danke im Voraus. Code:
ATTFilter .
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by Administrator at 20:41:10 on 2012-03-25
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1015.721 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Nero\Update\NASvc.exe
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = about:blank
uInternet Settings,ProxyServer = 10.10.0.120:3128
mWinlogon: Userinit=userinit.exe,
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Avira SearchFree Toolbar plus Web Protection: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: Avira SearchFree Toolbar plus Web Protection: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\programme\ask.com\GenericAskToolbar.dll
TB: {71576546-354D-41C9-AAE8-31F2EC22BF0D} - No File
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [EPSON Stylus D78 Series] c:\windows\system32\spool\drivers\w32x86\3\e_fatibge.exe /fu "c:\windows\temp\E_S82.tmp" /EF "HKLM"
mRun: [<NO NAME>]
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
IE: Google Sidewiki... - c:\programme\google\google toolbar\component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - d:\progra~1\micros~1\office11\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - d:\progra~1\micros~1\office11\REFIEBAR.DLL
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1251895251109
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.4.24.0.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 83.169.185.33 83.169.185.97
TCP: Interfaces\{14DB9B86-AD04-4C6B-B8A7-AD08805058FB} : DhcpNameServer = 83.169.185.33 83.169.185.97
Notify: igfxcui - igfxsrvc.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\administrator\anwendungsdaten\mozilla\firefox\profiles\th6lf7co.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - prefs.js: network.proxy.ftp - 10.10.0.120
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.http - 10.10.0.120
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 10.10.0.120
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 10.10.0.120
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\programme\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\microsoft silverlight\4.1.10111.0\npctrlui.dll
.
============= SERVICES / DRIVERS ===============
.
R0 NBVol;Nero Backup Volume Filter Driver;c:\windows\system32\drivers\NBVol.sys [2011-12-24 56496]
R0 NBVolUp;Nero Backup Volume Upper Filter Driver;c:\windows\system32\drivers\NBVolUp.sys [2011-12-24 12464]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-3-17 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2012-3-17 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2012-3-17 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-3-17 74640]
R2 MBAMService;MBAMService;c:\programme\malwarebytes' anti-malware\mbamservice.exe [2012-3-17 652360]
R2 NAUpdate;Nero Update;c:\programme\nero\update\NASvc.exe [2011-11-25 687400]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-3-17 20464]
S2 AntiVirWebService;Avira Browser Schutz;c:\programme\avira\antivir desktop\avwebgrd.exe [2012-3-17 463824]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2010-7-8 135664]
S3 cpudrv;cpudrv;c:\programme\systemrequirementslab\cpudrv.sys [2009-12-18 11336]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2010-7-8 135664]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-03-17 21:53:10 -------- d-----w- c:\programme\ESET
2012-03-17 21:47:40 -------- d-----w- c:\dokumente und einstellungen\administrator\anwendungsdaten\Malwarebytes
2012-03-17 21:47:31 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-03-17 21:47:29 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-17 21:47:29 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-03-17 20:20:31 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\gema
2012-03-17 20:20:31 -------- d-----w- c:\dokumente und einstellungen\administrator\anwendungsdaten\gema
2012-03-17 17:18:32 -------- d-----w- c:\dokumente und einstellungen\administrator\anwendungsdaten\Avira
2012-03-17 17:12:58 -------- d-----w- c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\AskToolbar
2012-03-17 15:37:57 -------- d-----w- c:\programme\Ask.com
2012-03-17 15:37:15 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-03-17 15:37:15 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-03-17 15:37:11 -------- d-----w- c:\programme\Avira
2012-03-17 15:37:11 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Avira
.
==================== Find3M ====================
.
2012-03-16 11:07:34 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-03 09:57:08 1860224 ----a-w- c:\windows\system32\win32k.sys
2012-01-11 19:06:33 3072 ------w- c:\windows\system32\iacenc.dll
2012-01-09 16:20:20 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
.
============= FINISH: 20:42:04,01 ===============
|
| Themen zu Gema Trojaner - logfiles im Thread |
| administrator, adobe, antivir, avg, avira, avira searchfree toolbar, desktop, einstellungen, escan, excel, explorer, firefox, gematrojaner, google, helper, mozilla, pdf, plug-in, programme, scan, schutz, svchost, system, temp, trojaner, virus, windows, windows xp |
Baum-Darstellung