| |
| |||||||
Log-Analyse und Auswertung: Rootkit / Trojaner auf Schwiegermutter PCWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.05.2013, 21:35
| #5 |
| |  Rootkit / Trojaner auf Schwiegermutter PC Hallo t'john, ich konnte leider erst jetzt weitermachen. Der Combofix lief ohne Probleme/Hinweise durch. Hier das Log: Code:
ATTFilter ComboFix 13-05-18.04 - admin 19.05.2013 22:24:16.1.4 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3063.2055 [GMT 2:00]
ausgeführt von:: c:\users\edda *****\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-04-19 bis 2013-05-19 ))))))))))))))))))))))))))))))
.
.
2013-05-19 20:28 . 2013-05-19 20:28 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-05-19 09:55 . 2013-03-26 15:59 92256 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\BingDesktop\Updater\BingDesktopRestarter.exe ERROR(0x00000005)
2013-05-19 06:34 . 2012-08-24 17:05 136560 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2013-05-19 06:34 . 2012-08-24 17:02 369856 ----a-w- c:\windows\system32\drivers\cng.sys
2013-05-19 06:34 . 2012-08-24 16:57 247808 ----a-w- c:\windows\system32\schannel.dll
2013-05-19 06:34 . 2012-08-24 16:56 1039360 ----a-w- c:\windows\system32\lsasrv.dll
2013-05-18 23:12 . 2013-05-13 06:19 7016152 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{ED7B3F6D-05A7-4D69-BCD1-0A8CD7B99BE8}\mpengine.dll ERROR(0x00000005)
2013-05-18 23:00 . 2013-03-19 04:53 186368 ----a-w- c:\windows\system32\wwansvc.dll
2013-05-18 23:00 . 2013-03-19 03:33 40960 ----a-w- c:\windows\system32\wwanprotdim.dll
2013-05-18 23:00 . 2013-04-10 03:14 2347520 ----a-w- c:\windows\system32\win32k.sys
2013-05-18 22:59 . 2013-04-10 05:18 728424 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2013-05-18 22:59 . 2013-04-10 05:18 218984 ----a-w- c:\windows\system32\drivers\dxgmms1.sys
2013-05-18 22:59 . 2013-02-27 05:05 101720 ----a-w- c:\windows\system32\consent.exe
2013-05-18 22:59 . 2013-02-27 04:49 1796096 ----a-w- c:\windows\system32\authui.dll
2013-05-18 22:59 . 2013-02-27 04:49 47104 ----a-w- c:\windows\system32\appinfo.dll
2013-05-18 21:57 . 2013-05-19 10:00 -------- d-----w- c:\users\admin
2013-05-18 11:03 . 2013-05-18 11:03 -------- d-----w- c:\users\edda *****\AppData\Roaming\Malwarebytes
2013-05-18 11:03 . 2013-05-18 11:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-05-18 11:03 . 2013-04-04 12:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-05-18 11:02 . 2013-05-18 11:02 -------- d-----w- c:\users\edda *****\AppData\Local\Programs
2013-05-02 09:54 . 2013-05-02 09:54 66656 ----a-w- c:\windows\system32\drivers\avnetflt.sys
2013-04-25 16:21 . 2013-04-12 13:45 1211752 ----a-w- c:\windows\system32\drivers\ntfs.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-02 00:06 . 2009-11-16 10:03 238872 ------w- c:\windows\system32\MpSigStub.exe
2013-04-13 04:45 . 2013-05-18 23:00 474624 ----a-w- c:\windows\apppatch\AcSpecfc.dll
2013-04-13 04:45 . 2013-05-18 23:00 2176512 ----a-w- c:\windows\apppatch\AcGenral.dll
2013-04-10 03:08 . 2009-11-16 12:22 6906960 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll ERROR(0x00000005)
2013-04-02 14:09 . 2013-04-02 14:09 4550656 ----a-w- c:\windows\system32\GPhotos.scr
2013-04-02 07:09 . 2013-04-02 07:09 745472 ----a-w- c:\windows\system32\MsSpellCheckingFacility.exe
2013-04-02 07:09 . 2013-04-02 07:09 523264 ----a-w- c:\windows\system32\vbscript.dll
2013-04-02 07:09 . 2013-04-02 07:09 38400 ----a-w- c:\windows\system32\imgutil.dll
2013-04-02 07:09 . 2013-04-02 07:09 185344 ----a-w- c:\windows\system32\elshyph.dll
2013-04-02 07:09 . 2013-04-02 07:09 158720 ----a-w- c:\windows\system32\msls31.dll
2013-04-02 07:09 . 2013-04-02 07:09 150528 ----a-w- c:\windows\system32\iexpress.exe
2013-04-02 07:09 . 2013-04-02 07:09 138752 ----a-w- c:\windows\system32\wextract.exe
2013-04-02 07:09 . 2013-04-02 07:09 137216 ----a-w- c:\windows\system32\ieUnatt.exe
2013-04-02 07:09 . 2013-04-02 07:09 12800 ----a-w- c:\windows\system32\mshta.exe
2013-04-02 07:09 . 2013-04-02 07:09 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2013-04-02 07:09 . 2013-04-02 07:09 73728 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2013-04-02 07:09 . 2013-04-02 07:09 719360 ----a-w- c:\windows\system32\mshtmlmedia.dll
2013-04-02 07:09 . 2013-04-02 07:09 61952 ----a-w- c:\windows\system32\tdc.ocx
2013-04-02 07:09 . 2013-04-02 07:09 48640 ----a-w- c:\windows\system32\mshtmler.dll
2013-04-02 07:09 . 2013-04-02 07:09 361984 ----a-w- c:\windows\system32\html.iec
2013-04-02 07:09 . 2013-04-02 07:09 23040 ----a-w- c:\windows\system32\licmgr10.dll
2013-04-02 07:09 . 2013-04-02 07:09 1441280 ----a-w- c:\windows\system32\inetcpl.cpl
2013-04-02 07:09 . 2013-04-02 07:09 9728 ---ha-w- c:\windows\system32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09 906240 ----a-w- c:\windows\system32\FntCache.dll
2013-04-02 07:09 . 2013-04-02 07:09 604160 ----a-w- c:\windows\system32\d3d10level9.dll
2013-04-02 07:09 . 2013-04-02 07:09 5632 ---ha-w- c:\windows\system32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09 5632 ---ha-w- c:\windows\system32\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09 417792 ----a-w- c:\windows\system32\WMPhoto.dll
2013-04-02 07:09 . 2013-04-02 07:09 4096 ---ha-w- c:\windows\system32\api-ms-win-downlevel-user32-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09 364544 ----a-w- c:\windows\system32\XpsGdiConverter.dll
2013-04-02 07:09 . 2013-04-02 07:09 3584 ---ha-w- c:\windows\system32\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09 3419136 ----a-w- c:\windows\system32\d2d1.dll
2013-04-02 07:09 . 2013-04-02 07:09 3072 ---ha-w- c:\windows\system32\api-ms-win-downlevel-version-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09 3072 ---ha-w- c:\windows\system32\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09 293376 ----a-w- c:\windows\system32\dxgi.dll
2013-04-02 07:09 . 2013-04-02 07:09 2560 ---ha-w- c:\windows\system32\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09 249856 ----a-w- c:\windows\system32\d3d10_1core.dll
2013-04-02 07:09 . 2013-04-02 07:09 2284544 ----a-w- c:\windows\system32\msmpeg2vdec.dll
2013-04-02 07:09 . 2013-04-02 07:09 220160 ----a-w- c:\windows\system32\d3d10core.dll
2013-04-02 07:09 . 2013-04-02 07:09 207872 ----a-w- c:\windows\system32\WindowsCodecsExt.dll
2013-04-02 07:09 . 2013-04-02 07:09 1988096 ----a-w- c:\windows\system32\d3d10warp.dll
2013-04-02 07:09 . 2013-04-02 07:09 161792 ----a-w- c:\windows\system32\d3d10_1.dll
2013-04-02 07:09 . 2013-04-02 07:09 1504768 ----a-w- c:\windows\system32\d3d11.dll
2013-04-02 07:09 . 2013-04-02 07:09 1247744 ----a-w- c:\windows\system32\DWrite.dll
2013-04-02 07:09 . 2013-04-02 07:09 1230336 ----a-w- c:\windows\system32\WindowsCodecs.dll
2013-04-02 07:09 . 2013-04-02 07:09 1158144 ----a-w- c:\windows\system32\XpsPrint.dll
2013-04-02 07:09 . 2013-04-02 07:09 1080832 ----a-w- c:\windows\system32\d3d10.dll
2013-04-02 07:09 . 2013-04-02 07:09 10752 ---ha-w- c:\windows\system32\api-ms-win-downlevel-advapi32-l1-1-0.dll
2013-04-02 07:09 . 2013-04-02 07:09 187392 ----a-w- c:\windows\system32\UIAnimation.dll
2013-04-01 17:05 . 2012-10-14 16:20 84744 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2013-04-01 17:05 . 2012-10-14 16:20 37352 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2013-04-01 17:05 . 2012-10-14 16:20 135136 ----a-w- c:\windows\system32\drivers\avipbb.sys
2013-03-19 05:04 . 2013-04-10 19:43 3968856 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-03-19 05:04 . 2013-04-10 19:43 3913560 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-03-19 04:48 . 2013-04-10 19:42 38912 ----a-w- c:\windows\system32\csrsrv.dll
2013-03-19 02:49 . 2013-04-10 19:43 69632 ----a-w- c:\windows\system32\smss.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-05-02 345312]
"BingDesktop"="c:\program files\Microsoft\BingDesktop\BingDesktop.exe" [2013-04-10 2387088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Z1"="c:\users\edda *****\Downloads\mbar\mbar.exe" [2013-05-18 1398856]
" Malwarebytes Anti-Malware (cleanup)"="c:\users\edda *****\Downloads\mbar\Data\cleanup.dll" [2013-05-18 1093192]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [x]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [x]
S2 BingDesktopUpdate;Bing Desktop Update service;c:\program files\Microsoft\BingDesktop\BingDesktopUpdater.exe [x]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [x]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [x]
S2 TeamViewer8;TeamViewer 8;c:\program files\TeamViewer\Version8\TeamViewer_Service.exe [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc Mcx2Svc SensrSvc
GPSvcGroup REG_MULTI_SZ GPSvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalService
FontCache
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-19 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-02-07 20:03]
.
2013-05-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 14:01]
.
2013-05-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-07 14:01]
.
2013-05-19 c:\windows\Tasks\hpwebreg_CN15P2N1C505D2.job
- c:\program files\HP\HP Deskjet 1000 J110 series\Bin\hpwebreg.exe [2010-11-16 20:16]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
TCP: DhcpNameServer = 192.168.1.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
AddRemove-_{ADDBE07D-95B8-4789-9C76-187FFF9624B4} - c:\program files\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher {ADDBE07D-95B8-4789-9C76-187FFF9624B4}
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-05-19 22:30:38
ComboFix-quarantined-files.txt 2013-05-19 20:30
.
Vor Suchlauf: 5 Verzeichnis(se), 945.207.230.464 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 946.082.500.608 Bytes frei
.
- - End Of File - - 655B2156B1CF87DACDE6889E13D5E3BE
Mathias |
| Themen zu Rootkit / Trojaner auf Schwiegermutter PC |
| anleitung, avira, erneute, gesetzt, gmer, guter, hoffe, infection, infektion, kurze, laufen, leitung, löschen, melde, neustart, pfingsten, probleme, rootkit, scan, tr/atraps.gen, troja, trojaner, update, windows, windows update |
Baum-Darstellung