| |
| |||||||
Log-Analyse und Auswertung: BKA-Trojaner 100 € mit Fehler in C:\DOKUME~1\***\LOKALE~1\Temp\wpbt0dllWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.03.2012, 17:46
| #1 |
 |  BKA-Trojaner 100 € mit Fehler in C:\DOKUME~1\***\LOKALE~1\Temp\wpbt0dll Hallo, ich hatte vor wenigen Tagen auch die Ehre mit dem BKA-Trojaner. Ich habe Avira Antivir und Spybot. Abgesicherten Modus und Systemwiederherstellung noch nicht benutzt. Nach der Anmeldung öffnete sich die BKA-Seite. Der Task-Manager war blockiert. Zuvor hatte mir Spybot öfter gemeldet, dass die Registry geändert wurde. Erst hatte ich das immer verweigert, doch es kamen immer wieder mehrere Meldungen hintereinander. Ich hatte es später erlaubt, was mir ja auch nicht half. Avira hatte mir vor ein paar Tagen schon Warnungen gebracht (auch mehrmals die gleichen): 'EXP/Pidief.azx' [exploit] 'TR/Dldr.FakeAV.BL' [trojan] 'EXP/2011-3544.DL.1' [exploit] 'HTML/FakeAlert.AP' [virus] Ich hatte auch festgestellt, dass ich Windows PowerShell 1.0 unbeabsichtigt auf dem Rechner hab. Ist da ein Zusammenhang möglich? Nun zu den Logs: Ich hatte beim Defogger einen Fehler. Logfile ist anbei. Beim Gmer-Scan hatte ich Windows-Firewall nicht deaktiviert. Ist das relevant? Habe noch einen Vollscan mit Malwarebytes gemacht und das gefundene gelöscht. Danach lief der Start auch ohne Probleme. [code] .DDS Logfile: Code:
ATTFilter DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_31
Run by Standard at 17:51:39 on 2012-03-25
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1012.594 [GMT 2:00]
.
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\program files\real\realplayer\update\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1;169.254.1.1;192.168.178.254
BHO: Octh Class: {000123b4-9b42-4900-b3f7-f4b073efc214} - c:\programme\orbitdownloader\orbitcth.dll
BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\adobe\acrobat 7.0\activex\AcroIEHelper.dll
BHO: RealPlayer Download and Record Plugin for Internet Explorer: {3049c3e9-b461-4bc5-8870-4c09146192ca} - c:\dokumente und einstellungen\all users\anwendungsdaten\real\realplayer\browserrecordplugin\ie\rpbrowserrecordplugin.dll
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\programme\divx\divx plus web player\npdivx32.dll
BHO: DivX HiQ: {593ddec6-7468-4cdd-90e1-42dadaa222e9} - c:\programme\divx\divx plus web player\npdivx32.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [updateMgr] "c:\programme\adobe\acrobat 7.0\reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
uRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
uRun: [SpybotSD TeaTimer] c:\programme\spybot - search & destroy\TeaTimer.exe
mRun: [Alcmtr] ALCMTR.EXE
mRun: [Windows Defender] "c:\programme\windows defender\MSASCui.exe" -hide
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [DivXUpdate] "c:\programme\divx\divx update\DivXUpdate.exe" /CHECKNOW
mRun: [TkBellExe] "c:\program files\real\realplayer\update\realsched.exe" -osboot
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [DWQueuedReporting] "c:\progra~1\gemein~1\micros~1\dw\dwtrig20.exe" -t
StartupFolder: c:\dokume~1\standard\startm~1\progra~1\autost~1\wetter~1.lnk - c:\programme\wetterbox\Wetterbox.exe
StartupFolder: c:\dokume~1\standard\startm~1\progra~1\autost~1\wpbt0d~1.lnk - c:\windows\system32\rundll32.exe
uPolicies-system: DisableTaskMgr = 1 (0x1)
IE: &Download by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\orbitdownloader\orbitmxt.dll/202
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\standard\anwendungsdaten\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
Trusted Zone: uni-marburg.de\home.students
DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: Interfaces\{01E4ADAF-C31D-4744-8254-3591CF011E3E} : DhcpNameServer = 217.68.161.141 217.68.161.171 192.168.0.1
TCP: Interfaces\{806DAB5C-2EF1-4AD2-AA7F-B1BCCC16D745} : DhcpNameServer = 192.168.178.1
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Microsoft AntiMalware ShellExecuteHook: {091eb208-39dd-417d-a5dd-7e2c2d8fb9cb} - c:\progra~1\wifd1f~1\MpShHook.dll
Hosts: 127.0.0.1 www.spywareinfo.com
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\standard\anwendungsdaten\mozilla\firefox\profiles\qdo3ky75.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - about:blank
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\dokumente und einstellungen\all users\anwendungsdaten\real\realplayer\browserrecordplugin\mozillaplugins\nprpchromebrowserrecordext.dll
FF - plugin: c:\dokumente und einstellungen\all users\anwendungsdaten\real\realplayer\browserrecordplugin\mozillaplugins\nprphtml5videoshim.dll
FF - plugin: c:\program files\real\realplayer\netscape6\nppl3260.dll
FF - plugin: c:\program files\real\realplayer\netscape6\nprjplug.dll
FF - plugin: c:\program files\real\realplayer\netscape6\nprpjplug.dll
FF - plugin: c:\programme\divx\divx ovs helper\npovshelper.dll
FF - plugin: c:\programme\divx\divx plus web player\npdivx32.dll
FF - plugin: c:\programme\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\programme\java\jre6\bin\plugin2\npjp2.dll
.
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-18 36000]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [2009-6-22 81408]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-10-18 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-10-18 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-18 74640]
R2 WinDefend;Windows Defender;c:\programme\windows defender\MsMpEng.exe [2006-11-3 13592]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-10-9 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2008-10-9 265088]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [2010-12-25 272128]
.
=============== Created Last 30 ================
.
2012-03-23 17:38:16 6582328 ----a-w- c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\windows defender\definition updates\{de2320b3-202f-4cf8-9f23-dfc36e29b091}\mpengine.dll
2012-03-21 20:03:54 592824 ----a-w- c:\programme\mozilla firefox\gkmedias.dll
2012-03-21 20:03:54 44472 ----a-w- c:\programme\mozilla firefox\mozglue.dll
2012-03-04 15:21:31 -------- d-----w- c:\programme\Astonsoft
2012-03-03 08:56:57 -------- d-----w- c:\programme\Pendulo Studios
2012-03-03 08:25:43 311428 ----a-w- c:\programme\gemeinsame dateien\installshield\professional\runtime\09\00\intel32\isp1db.tmp\setup.dll
.
==================== Find3M ====================
.
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-21 18:41:10 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-02-21 18:41:09 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-03 09:57:08 1860224 ----a-w- c:\windows\system32\win32k.sys
2012-01-11 19:06:33 3072 ------w- c:\windows\system32\iacenc.dll
2012-01-09 16:20:20 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
.
============= FINISH: 17:52:01,57 ===============
Code:
ATTFilter Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.03.26.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Standard :: 2008-0676 [Administrator] 26.03.2012 21:15:15 mbam-log-2012-03-26 (21-15-15).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 290316 Laufzeit: 52 Minute(n), 17 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 1 HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Dokumente und Einstellungen\Standard\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.Downloader.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Standard\Anwendungsdaten\Help\comm.tll (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Vielen Dank für eure Hilfe |
| Themen zu BKA-Trojaner 100 € mit Fehler in C:\DOKUME~1\***\LOKALE~1\Temp\wpbt0dll |
| antivir, avira, converter, dateisystem, defender, desktop, disabletaskmgr, downloader, einstellungen, exp/2011-3544.dl.1, fehler, firefox, gmer-scan, helper, heuristiks/extra, heuristiks/shuriken, home, html/fakealert.ap, logfile, mozilla, mp3, netgear, plug-in, registry, rundll, security, software, svchost, trojan.downloader.gen, usb, usb 2.0, virus, windows, windows xp, windows-firewall, wpbt0.dll |
Baum-Darstellung