| |
| |||||||
Log-Analyse und Auswertung: Unerwünschte Software (und Viren?)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
11.02.2013, 13:21
| #16 |
| /// Malware-holic   |  Unerwünschte Software (und Viren?) laden: HitmanPro - Download - Filepony doppelklicken, lizenz, testlizenz scan, nichts löschen, am Ende auf weiter, Log exportieren und posten
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
11.02.2013, 17:34
| #17 |
 | Unerwünschte Software (und Viren?) Hallo Markus,
__________________hier ist das Log-file: Code:
ATTFilter HitmanPro 3.7.2.188
www.hitmanpro.com
Computer name . . . . : RUPI-PC
Windows . . . . . . . : 6.1.1.7601.X64/2
User name . . . . . . : Rupi-PC\Rupi
UAC . . . . . . . . . : Enabled
License . . . . . . . : Free
Scan date . . . . . . : 2013-02-11 14:27:12
Scan mode . . . . . . : Normal
Scan duration . . . . : 4m 34s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No
Threats . . . . . . . : 0
Traces . . . . . . . : 79
Objects scanned . . . : 1.716.235
Files scanned . . . . : 19.692
Remnants scanned . . : 590.058 files / 1.106.485 keys
Potential Unwanted Programs _________________________________________________
C:\Program Files (x86)\Ask.com\ (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\ (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\b.png (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\bl.png (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\br.png (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\l.png (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\pointer.png (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\r.png (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\t.png (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\tl.png (AskBar)
C:\Program Files (x86)\Ask.com\assets\oobe\tr.png (AskBar)
C:\Program Files (x86)\Ask.com\cobrand.ico (AskBar)
C:\Program Files (x86)\Ask.com\config.xml (AskBar)
C:\Program Files (x86)\Ask.com\favicon.ico (AskBar)
C:\Program Files (x86)\Ask.com\mupcfg.xml (AskBar)
C:\Program Files (x86)\Ask.com\precache.exe (AskBar)
Size . . . . . . . : 71.368 bytes
Age . . . . . . . : 24.8 days (2013-01-17 20:23:40)
Entropy . . . . . : 6.3
SHA-256 . . . . . : D0A50FBE5F2146B52B5E6E841779F918D1667EEBA088451EDB8B197932660018
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : -9.0
C:\Program Files (x86)\Ask.com\SaUpdate.exe (AskBar)
Size . . . . . . . : 197.832 bytes
Age . . . . . . . : 24.8 days (2013-01-17 20:23:40)
Entropy . . . . . : 6.6
SHA-256 . . . . . : 4F902BAF479ADAE902832273C382C1DC1C627D192CBE433B63E21FEAD6126E6B
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : -9.0
C:\Program Files (x86)\Ask.com\Updater\ (AskBar)
C:\Program Files (x86)\Ask.com\Updater\config.xml (AskBar)
C:\Program Files (x86)\Ask.com\Updater\Updater.exe (AskBar)
Size . . . . . . . : 1.573.576 bytes
Age . . . . . . . : 24.8 days (2013-01-17 20:23:40)
Entropy . . . . . : 6.1
SHA-256 . . . . . : D6BC1FB2F6C1A763EA100807B07975B2D979E5BB77E0FE6544BDDBE0590604CF
Product . . . . . : Updater
Publisher . . . . : Ask
Description . . . : Ask Updater
Version . . . . . : 1.2.3.29495
Copyright . . . . : (c) Ask. All rights reserved.
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Running processes : 2820
Fuzzy . . . . . . : -17.0
C:\Program Files (x86)\Ask.com\UpdateTask.exe (AskBar)
Size . . . . . . . : 136.392 bytes
Age . . . . . . . : 24.8 days (2013-01-17 20:23:40)
Entropy . . . . . : 6.5
SHA-256 . . . . . : 306B82551CDE7937B9ECBC00625D543695BFA3C8BF2CA2946326FE6B75A3BBC0
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : -13.0
C:\Users\Default User\AppData\Local\AskToolbar\ (AskBar)
C:\Users\Default\AppData\Local\AskToolbar\ (AskBar)
C:\Users\Default\AppData\Local\AskToolbar\Downloaded Program Files\ (AskBar)
C:\Users\Default\AppData\Local\AskToolbar\Downloaded Program Files\avira.inf (AskBar)
C:\Users\Default\AppData\Local\AskToolbar\Downloaded Program Files\AviraTrans.dll (AskBar)
Size . . . . . . . : 895.440 bytes
Age . . . . . . . : 427.0 days (2011-12-12 14:29:12)
Entropy . . . . . : 6.4
SHA-256 . . . . . : 85A73467A8E1D7674DB2DC618FFB2C534C0C4AF8C55F20064A9B8C465A9FBCE3
Product . . . . . : Avira Addon
Publisher . . . . : Ask.com
Description . . . : Avira Addon
Version . . . . . : 1.0.4.1000
Copyright . . . . : Copyright © 2009 Ask.com, All rights reserved.
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : -7.0
C:\Users\Rupi\AppData\LocalLow\AskToolbar\ (AskBar)
C:\Users\Rupi\AppData\LocalLow\AskToolbar\accl.xml (AskBar)
C:\Users\Rupi\AppData\LocalLow\AskToolbar\APNU\ (AskBar)
C:\Users\Rupi\AppData\LocalLow\AskToolbar\APNU\config.xml (AskBar)
C:\Users\Rupi\AppData\LocalLow\AskToolbar\cache.dat (AskBar)
C:\Users\Rupi\AppData\LocalLow\AskToolbar\config.xml (AskBar)
C:\Users\Rupi\AppData\LocalLow\AskToolbar\osearch.xml (AskBar)
C:\Users\Usuário Padrão\AppData\Local\AskToolbar\ (AskBar)
C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\ (AskBar)
C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\2070.MST (AskBar)
HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1\ (AskBar)
HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd\ (AskBar)
HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9\ (AskBar)
HKLM\SOFTWARE\Classes\Interface\{FD8F79A0-D2E2-4FA2-AEAF-393EAC8064F7}\ (Babylon)
HKLM\SOFTWARE\Classes\Prod.cap\ (Claro)
HKLM\SOFTWARE\Classes\s\ (Softonic)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4B2468513CA2D6943A1A233CD3F88CE7\ (Claro)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E\ (AskBar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF\ (AskBar)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ (AskBar)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440} (AskBar)
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\ (AskBar)
HKU\.DEFAULT\Software\Ask.com\ (AskBar)
HKU\.DEFAULT\Software\AskToolbar\ (AskBar)
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ (AskBar)
HKU\S-1-5-18\Software\Ask.com\ (AskBar)
HKU\S-1-5-18\Software\AskToolbar\ (AskBar)
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ (AskBar)
HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\Ask.com\ (AskBar)
HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\DataMngr_Toolbar\ (SearchQU)
HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\Microsoft\Internet Explorer\Approved Extensions\{4D2D3B0F-69BE-477A-90F5-FDDB05357975} (Claro)
HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ (AskBar)
HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\Softonic\ (Softonic)
Cookies _____________________________________________________________________
C:\Users\Rupi\AppData\Roaming\Microsoft\Windows\Cookies\8TZ7AUU3.txt
C:\Users\Rupi\AppData\Roaming\Microsoft\Windows\Cookies\YYFF0QUE.txt
Viele Grüsse Zalgado |
|
13.02.2013, 11:22
| #18 |
| /// Malware-holic | Unerwünschte Software (und Viren?) hi
__________________lösche mal alle Funde bitte.
__________________ |
|
15.02.2013, 01:31
| #19 |
| | Unerwünschte Software (und Viren?) Hallo Markus, ich habe die von tdss Killer gefundenen Daten gelöscht und Combofix nochmal laufen lassen (ich hoffe, das war richtig...) Die beschriebenen Symptome (gelb unterlegte Anmeldefenster und Pünktchen im Mailprogramm) sind leider immer noch da. Natürlich benutze ich mit diesem PC kein Mail- oder sonstiges sicherheitsrelavantes programm. Viele Grüsse Zalgado |
|
15.02.2013, 15:02
| #20 |
| /// Malware-holic | Unerwünschte Software (und Viren?) wieso hast du mit tdss killer irgendwas gelöscht, hatte ich das gesagt? jetzt hast du dir noch software zerschossen, toll. poste das log vom löschen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
16.02.2013, 12:21
| #21 |
| | Unerwünschte Software (und Viren?) Hallo Markus, ich weiss, dass Du in diesem Forum ehrenamtlich arbeitest, und für diese Hilfe bin ich auch sehr dankbar!! Dir ist sicher klar, dass Du es mit einem ziehmlichen PC-Laien zu tun hast - könntst Du deshalb vielleicht Deine Anweisungen ein bisschen klarer und eindeutiger formulieren, so dass es auch ein Laie versteht? Für mich schliesst "alle Funde löschen" auch tdss Killer mit ein, von dem ich noch nicht mal weiss, wie er arbeitet und wie er funktioniert. Ausserdem wusste ich bei so viel Scans schon gar nicht mehr, mit was ich alles gescannt habe... Hier ist der Report von tdss: 09:11:15.0031 4088 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35 09:11:22.0706 4088 ============================================================ 09:11:22.0706 4088 Current date / time: 2013/02/16 09:11:22.0706 09:11:22.0706 4088 SystemInfo: 09:11:22.0706 4088 09:11:22.0706 4088 OS Version: 6.1.7601 ServicePack: 1.0 09:11:22.0706 4088 Product type: Workstation 09:11:22.0706 4088 ComputerName: RUPI-PC 09:11:22.0706 4088 UserName: Rupi 09:11:22.0706 4088 Windows directory: C:\windows 09:11:22.0706 4088 System windows directory: C:\windows 09:11:22.0706 4088 Running under WOW64 09:11:22.0706 4088 Processor architecture: Intel x64 09:11:22.0706 4088 Number of processors: 2 09:11:22.0706 4088 Page size: 0x1000 09:11:22.0706 4088 Boot type: Normal boot 09:11:22.0706 4088 ============================================================ 09:11:26.0450 4088 Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040 09:11:26.0450 4088 Drive \Device\Harddisk1\DR1 - Size: 0x1DD180000 (7.45 Gb), SectorSize: 0x200, Cylinders: 0x3CD, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W' 09:11:26.0450 4088 Drive \Device\Harddisk2\DR2 - Size: 0x1DDBF8000 (7.46 Gb), SectorSize: 0x200, Cylinders: 0x3CE, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W' 09:11:26.0450 4088 ============================================================ 09:11:26.0450 4088 \Device\Harddisk0\DR0: 09:11:26.0450 4088 MBR partitions: 09:11:26.0450 4088 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x214800 09:11:26.0450 4088 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x215000, BlocksNum 0xF9F800 09:11:26.0450 4088 \Device\Harddisk0\DR0\Partition3: MBR, Type 0x7, StartLBA 0x11B4800, BlocksNum 0x24279800 09:11:26.0450 4088 \Device\Harddisk1\DR1: 09:11:26.0450 4088 MBR partitions: 09:11:26.0450 4088 \Device\Harddisk1\DR1\Partition1: MBR, Type 0xB, StartLBA 0x20, BlocksNum 0xEE8BE0 09:11:26.0450 4088 \Device\Harddisk2\DR2: 09:11:26.0450 4088 MBR partitions: 09:11:26.0450 4088 \Device\Harddisk2\DR2\Partition1: MBR, Type 0xB, StartLBA 0x3F, BlocksNum 0xEEDD21 09:11:26.0450 4088 ============================================================ 09:11:26.0621 4088 C: <-> \Device\Harddisk0\DR0\Partition3 09:11:26.0715 4088 D: <-> \Device\Harddisk0\DR0\Partition2 09:11:26.0715 4088 ============================================================ 09:11:26.0715 4088 Initialize success 09:11:26.0715 4088 ============================================================ Viele Grüsse Zaldago |
|
18.02.2013, 17:32
| #22 |
| /// Malware-holic | Unerwünschte Software (und Viren?) noch probleme festzustelen?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
19.02.2013, 18:35
| #23 |
| | Unerwünschte Software (und Viren?) Leider immer noch die selben Symptone, es hat sich nicht geaendert.... |
|
19.02.2013, 18:39
| #24 |
| /// Malware-holic | Unerwünschte Software (und Viren?) dann setzen wir einmal neu auf. 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Unerwünschte Software (und Viren?) |
| adobe, antivir, avg, avg secure search, avg security toolbar, avira, bho, bonjour, converter, desktop, firefox, flash player, format, helper, home, lightning, logfile, nodrives, object, plug-in, realtek, registry, safer networking, scan, secure search, security, senden, software, superantispyware, viren, vtoolbarupdater, warnhinweis, windows |
Linear-Darstellung
