Snap.do eingefangen - adwcleaner ausgeführt - jetzt systemlook Logfile

haleo · 02.05.2013, 06:26

Hallo liebes Trojaner-Forum,

am Rechner meiner Freundin hat "snap.do" es irgendwie geschafft, ins System zu gelangen. Nach der Suche hier im Board habe ich dann den adwcleaner ausgeführt, der auch einiges gelöscht hat. Danach habe ich systemlook.exe ausgeführt wie in einem Faden mit gleichem Problem empfohlen. Hier scheint etwas gefunden worden zu sein und ich weiß nicht weiter. Kann mir hier wer helfen? Das wäre fantastisch! Danke im Voraus für jede Hilfe!
Anbei das Logfile:

SystemLook 30.07.11 by jpshortstuff
Log created at 07:15 on 02/05/2013 by ***
Administrator - Elevation successful

========== filefind ==========

Searching for "*snap.do*"
No files found.

Searching for "*snapdo*"
C:\Windows\Prefetch\SNAPDO.EXE-A9DAF499.pf --a---- 322426 bytes [17:03 01/05/2013] [17:21 01/05/2013] 44AB5A6D5383E3333116216842217A01

========== folderfind ==========

Searching for "*snap.do*"
No folders found.

Searching for "*snapdo*"
No folders found.

========== regfind ==========

Searching for "snap.do"
No data found.

Searching for "snapdo"
No data found.

Searching for " "
[HKEY_LOCAL_MACHINE\SOFTWARE\DivX\Install\Player]
"Description"="
<p>Der DivX Plus Player ist für das beste Wiedergabeerlebnis auf Deinem PC optimiert.</p>
<ul>
<li>Sehen Sie sich ruckelfreie High-Definition-Videos auf Deinem PC an (bis zu 1080 p)</li>
<li>Einfacher Transfer von Videos an DivX-Geräte</li>
<li>Erleben Sie die DivX Plus-Features, wie den schnellen und gleichmäßigen Vor- und Rücklauf und das Überspringen von Szenen</li>
</ul>
"
[HKEY_LOCAL_MACHINE\SOFTWARE\DivX\Install\Setup\BundleGroups\divx.com]
"BundleGroupDescription"="
<p>Die DivX Plus-Software enthält alles, was Du für ein kinoähnliches Erlebnis auf Deinem Computer, in Deinem Wohnzimmer und unterwegs benötigst. Für ein optimales Erlebnis mit DivX-Videos <b>empfehlen wir die Komplettinstallation aller Komponenten</b>.</p>
<h3>Mit DivX Plus-Software kannst Du:</h3>
<ul>
<li>Ruckelfreie HD-Videos auf Deinem Computer ansehen</li>
<li>Videos mühelos an DivX Certified®-Geräte übertragen</li>
<li>Die fortschrittlichen DivX Plus-Features, wie den schnellen und gleichmäßigen Vor- und Rücklauf und das Überspringen von Szenen, genießen</li>
<li>DivX-Videos auf Deiner Website oder in Deinen Blog integrieren</li>
<li>Dateien platzsparend in ein DivX-Video umwandeln oder auf DivX-Geräten wiedergeben</li>
</ul>
"
[HKEY_LOCAL_MACHINE\SOFTWARE\DivX\Install\Setup\InstallGroups\Player]
"Description"="
<p>Der DivX Plus Player ist für das beste Wiedergabeerlebnis auf Deinem PC optimiert.</p>
<ul>
<li>Sehen Sie sich ruckelfreie High-Definition-Videos auf Deinem PC an (bis zu 1080 p)</li>
<li>Einfacher Transfer von Videos an DivX-Geräte</li>
<li>Erleben Sie die DivX Plus-Features, wie den schnellen und gleichmäßigen Vor- und Rücklauf und das Überspringen von Szenen</li>
</ul>
"
[HKEY_LOCAL_MACHINE\SOFTWARE\DivX\Install\Setup\InstallGroups\SharedLibraries]
"Description"="
<ul>
<li>The DivX VOD Plug-in enables a better user experience for customers purchasing or renting content from DivX VOD retail stores.</li>
</ul>
"
[HKEY_LOCAL_MACHINE\SOFTWARE\DivX\Install\WebPlayer]
"Description"="
<h3>Neue Funktionen in dieser Beta-Version:</h3>
<ul>
<li>DivX HiQ™ - benutze DivX Plus Web Player auf populären Video-Webseiten wie YouTube</li>
<li>Unterstützung neuer Formate – MP4 & MOV</li>
<li>Unterstützung von HTML5 &ltVIDEO&gt Tag</li>
<li>DXVA Hardwarebeschleunigung (Direct-X)</li>
</ul>
"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Plugin\Microsoft.PowerShell]
"ConfigXML"=" <PlugInConfiguration xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Name="microsoft.powershell" Filename="%windir%\system32\pwrshplugin.dll" SDKVersion="1" XmlRenderingType="text" > <InitializationParameters> <Param Name="PSVersion" Value="2.0"/> </InitializationParameters> <Resources> <Resource ResourceUri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell" SupportsOptions="true" ExactMatch="true"> <Security xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Uri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell" ExactMatch="true" Sddl="O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)"/> <Capability Type="Shell"/> </Resource> </Res
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\WSMAN\Plugin\Microsoft.PowerShell32]
"ConfigXML"="<PlugInConfiguration xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Name="microsoft.powershell32" Filename="%windir%\system32\pwrshplugin.dll" SDKVersion="1" XmlRenderingType="text" Architecture="32" > <InitializationParameters> <Param Name="PSVersion" Value="2.0"/> </InitializationParameters> <Resources> <Resource ResourceUri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell32" SupportsOptions="true" ExactMatch="true"> <Security xmlns="hxxp://schemas.microsoft.com/wbem/wsman/1/config/PluginConfiguration" Uri="hxxp://schemas.microsoft.com/powershell/microsoft.powershell32" ExactMatch="true" Sddl="O:NSG:BAD:P(A;;GA;;;BA)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)"/>
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_0.00#081025565E8209&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_8.07#11090721001681&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_8.07#TDSMHPTV&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_GENERIC&PROD_USB_2.0&REV_8.07#F83B6EAB &0#]
"DeviceDesc"="USB 2.0 "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01#1101801DC FC2EAF2&0#]
"DeviceDesc"="Cruzer "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_0.00#081025565E8209&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_8.07#11090721001681&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_8.07#TDSMHPTV&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_GENERIC&PROD_USB_2.0&REV_8.07#F83B6EAB &0#]
"DeviceDesc"="USB 2.0 "
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01#1101801DC FC2EAF2&0#]
"DeviceDesc"="Cruzer "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_0.00#081025565E8209&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_8.07#11090721001681&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_&REV_8.07#TDSMHPTV&0#]
"DeviceDesc"=" "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_GENERIC&PROD_USB_2.0&REV_8.07#F83B 6EAB&0#]
"DeviceDesc"="USB 2.0 "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_SANDISK&PROD_CRUZER&REV_8.01#11018 01DCFC2EAF2&0#]
"DeviceDesc"="Cruzer "

-= EOF =-

ryder · 02.05.2013, 09:26

Ja es ist schwer sowas zu interpretieren und deswegen sollte man als Laie erst gar nicht reinschauen.

Bevor wir starten: Beschreibe mir bitte wo du snap.do noch siehst und poste mir das Logfile von AdwCleaner.

haleo · 02.05.2013, 10:24

Wow, das war eine schnelle Antwort. Vorweg: Ich sitze momentan "leider" nicht am infizierten Rechner. Daher muss das Logfile vom adwcleaner dann später folgen.
Was ist mit sehen gemeint? Tatsächlich im Betrieb als Anwender? Ich denke nicht, dass es da noch irgendwo zu sehen ist. Meine Freundin hatte, sagte sie, das Programm deinstalliert. Danach war im Firefox lediglich eine geänderte Startseite in Google-Optik zu sehen. Das habe ich entsprechend geändert. Mehr sieht man nicht, auch HijackThis findet keinen schadhaften Eintrag - zumindest nach der online-Auswertung auf deren Website.

edit: Das Hijackthis-Logfile reiche ich dann eventuell auch nach? Oder ist das eher nicht erfolgsversprechend?

ryder · 02.05.2013, 15:28

Niemand braucht ein HJT Logfile (steht hier auch ganz deutlich im Forum).

AdwCleaner-Logfile bitte.

ryder · 07.05.2013, 13:29

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis, nachdem du deine Logfiles hier eingestellt hast.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

02.05.2013, 09:26	#2
ryder /// TB-Ausbilder	Snap.do eingefangen - adwcleaner ausgeführt - jetzt systemlook Logfile Ja es ist schwer sowas zu interpretieren und deswegen sollte man als Laie erst gar nicht reinschauen. Bevor wir starten: Beschreibe mir bitte wo du snap.do noch siehst und poste mir das Logfile von AdwCleaner. __________________ __________________

02.05.2013, 15:28	#4
ryder /// TB-Ausbilder	Snap.do eingefangen - adwcleaner ausgeführt - jetzt systemlook Logfile Niemand braucht ein HJT Logfile (steht hier auch ganz deutlich im Forum). AdwCleaner-Logfile bitte. __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

Snap.do eingefangen - adwcleaner ausgeführt - jetzt systemlook Logfile

Log-Analyse und Auswertung: Snap.do eingefangen - adwcleaner ausgeführt - jetzt systemlook Logfile