| |
| |||||||
Log-Analyse und Auswertung: AdWare-verseuchter PC - Hauptproblem: "MyPCBackup"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.05.2014, 19:35
| #3 |
 |  AdWare-verseuchter PC - Hauptproblem: "MyPCBackup" Hallo Matthias,
__________________ComboFix lief gerade durch, ich hänge das Log an. Außerdem: In meinem Mozilla Firefox hat es mir irgendwie die Proxy-Einstellungen gerissen, so dass ich nun gerade Internet Explorer benutzen muss. (Das krieg ich wieder hin, ich dachte nur, vielleicht ist es ja wichtig.) Danke, Gruß Felix Code:
ATTFilter ComboFix 14-05-19.01 - Wermutstropfen 24/05/2014 19:37:34.1.2 - x86
Microsoft® Windows Vista™ Ultimate 6.0.6002.2.1252.49.1031.18.3000.1651 [GMT 2:00]
ausgeführt von:: c:\users\Wermutstropfen\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {179979E8-273D-D14E-0543-2861940E4886}
FW: Kaspersky Internet Security *Disabled* {2FA2F8CD-6D52-D016-2E1C-81546ADD0FFD}
SP: Kaspersky Internet Security *Disabled/Updated* {ACF8980C-0107-DEC0-3FF3-1313EF89023B}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\users\Wermutstropfen\4.0
c:\windows\MICROSOFT
c:\windows\MICROSOFT\System Update kb70007\Installer.dll
c:\windows\MICROSOFT\System Update kb70007\InstallerLibrary.dll
c:\windows\MICROSOFT\System Update kb70007\win32.reg
c:\windows\MICROSOFT\System Update kb70007\WindowsUpdater.exe
c:\windows\system32\roboot.exe
c:\windows\wininit.ini
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_System Update kb70007
-------\Service_System Update kb70007
.
.
((((((((((((((((((((((( Dateien erstellt von 2014-04-24 bis 2014-05-24 ))))))))))))))))))))))))))))))
.
.
2014-05-24 08:15 . 2014-05-24 08:19 -------- d-----w- C:\FRST
2014-05-14 14:01 . 2014-05-05 23:14 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2014-05-09 07:58 . 2014-05-09 07:58 -------- d-----w- c:\programdata\CDB
2014-05-09 07:57 . 2014-05-09 07:59 -------- d-----w- c:\programdata\AntiToolbar
2014-05-09 07:57 . 2014-05-09 07:59 -------- d-----w- c:\program files\AntiToolbar
2014-05-09 07:57 . 2014-05-09 07:57 -------- d--h--w- c:\programdata\Common Files
2014-05-09 07:57 . 2014-05-09 07:57 -------- d-----w- c:\users\Wermutstropfen\AppData\Local\Avg2013
2014-05-09 07:57 . 2014-05-09 07:58 -------- d-----w- c:\programdata\MFAData
2014-05-09 07:57 . 2014-05-09 07:57 -------- d-----w- c:\users\Wermutstropfen\AppData\Local\MFAData
2014-05-08 20:42 . 2014-04-14 18:13 94632 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2014-05-08 11:21 . 2014-05-08 11:21 188272 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2014-05-07 19:12 . 2014-05-07 19:12 -------- d-----w- c:\program files\VideoLAN
2014-05-07 19:11 . 2014-05-09 08:00 -------- d-----w- C:\temp
2014-05-07 19:10 . 2014-05-07 19:10 -------- d-----w- c:\users\Wermutstropfen\.android
2014-05-07 19:10 . 2014-05-07 19:10 -------- d-----w- c:\users\Wermutstropfen\AppData\Local\cache
2014-05-07 19:10 . 2014-05-07 19:11 -------- d-----w- c:\program files\002
2014-05-07 19:09 . 2014-05-07 19:24 -------- d-----w- c:\users\Wermutstropfen\AppData\Local\Mobogenie
2014-05-07 19:08 . 2014-05-08 19:41 -------- d-----w- c:\program files\Mobogenie
2014-05-07 19:07 . 2014-05-07 19:08 -------- d-----w- c:\program files\ConstaSurf
2014-05-07 19:07 . 2014-05-07 19:07 -------- d-----w- c:\programdata\Systweak
2014-05-07 19:07 . 2012-07-25 10:03 17136 ----a-w- c:\windows\system32\sasnative32.exe
2014-05-07 19:06 . 2014-05-09 07:05 -------- d-----w- c:\program files\MyPC Backup
2014-05-07 19:05 . 2014-05-07 19:07 -------- d-----w- c:\users\Wermutstropfen\AppData\Roaming\Systweak
2014-05-07 19:05 . 2014-05-07 20:07 -------- d-----w- c:\program files\LPT
2014-05-07 19:04 . 2014-05-07 19:04 -------- d-----w- c:\users\Wermutstropfen\AppData\Local\LPT
2014-05-07 19:04 . 2014-05-07 19:04 -------- d-----w- c:\users\Wermutstropfen\AppData\Local\Smartbar
2014-05-04 21:19 . 2014-05-04 21:19 110080 ----a-r- c:\users\Wermutstropfen\AppData\Roaming\Microsoft\Installer\{AF549236-6258-4AC6-A043-5B5B89C6EB61}\IconF7A21AF7.exe
2014-05-04 21:19 . 2014-05-04 21:19 110080 ----a-r- c:\users\Wermutstropfen\AppData\Roaming\Microsoft\Installer\{AF549236-6258-4AC6-A043-5B5B89C6EB61}\IconD7F16134.exe
2014-05-04 21:19 . 2014-05-04 21:19 110080 ----a-r- c:\users\Wermutstropfen\AppData\Roaming\Microsoft\Installer\{AF549236-6258-4AC6-A043-5B5B89C6EB61}\IconCF33A0CE.exe
2014-05-04 21:19 . 2014-05-04 21:19 -------- d-----w- C:\sh4ldr
2014-05-04 21:16 . 2014-05-05 19:38 -------- d-----w- c:\windows\AF54923662584AC6A0435B5B89C6EB61.TMP
2014-05-04 21:16 . 2014-05-04 21:16 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2014-05-03 17:17 . 2014-05-03 17:18 -------- d-----w- c:\program files\MSR
2014-05-03 17:17 . 2014-05-03 17:17 -------- d-----w- c:\users\Wermutstropfen\AppData\Roaming\v9
2014-05-03 17:16 . 2014-05-03 17:16 -------- d-----w- c:\users\Wermutstropfen\AppData\Roaming\InetStat
2014-05-03 17:15 . 2014-05-03 17:15 -------- d-----w- c:\users\Wermutstropfen\AppData\Roaming\Wise
2014-04-30 15:59 . 2014-04-30 16:05 -------- d-----w- c:\program files\Mozilla Thunderbird
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-04-08 08:01 . 2014-04-08 08:01 71 ----a-w- c:\users\Wermutstropfen\s.cmd
2014-03-28 23:52 . 2013-10-17 14:47 25184 ----a-w- c:\windows\system32\drivers\klkbdflt.sys
2014-03-28 23:52 . 2013-06-06 16:38 144992 ----a-w- c:\windows\system32\drivers\kneps.sys
2014-03-28 23:52 . 2013-10-17 14:47 135776 ----a-w- c:\windows\system32\drivers\kl1.sys
2014-03-28 23:52 . 2013-06-08 19:18 94304 ----a-w- c:\windows\system32\drivers\klflt.sys
2014-03-07 23:12 . 2014-04-11 07:06 1806848 ----a-w- c:\windows\system32\jscript9.dll
2014-03-07 23:02 . 2014-04-11 07:06 1427968 ----a-w- c:\windows\system32\inetcpl.cpl
2014-03-07 23:02 . 2014-04-11 07:06 1129472 ----a-w- c:\windows\system32\wininet.dll
2014-03-07 22:57 . 2014-04-11 07:06 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2014-03-07 22:56 . 2014-04-11 07:06 421376 ----a-w- c:\windows\system32\vbscript.dll
2012-03-13 04:38 . 2014-05-07 18:34 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wisdom-soft AutoScreenRecorder 3.1 Pro"="0" [X]
"DAEMON Tools Ultra Agent"="c:\program files\DAEMONTools\DTAgent.exe" [2013-03-06 3088448]
"EPLTarget\P0000000000000000"="c:\windows\system32\spool\DRIVERS\W32X86\3\E_TATIHFE.EXE" [2012-07-12 220800]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]
"Amazon Cloud Player"="c:\users\Wermutstropfen\AppData\Local\Amazon Cloud Player\Amazon Music Helper.exe" [2014-03-07 3168576]
"InetStat"="c:\users\Wermutstropfen\AppData\Roaming\InetStat\inetstat.exe" [2014-05-03 1259488]
"Browser Infrastructure Helper"="c:\users\Wermutstropfen\AppData\Local\Smartbar\Application\Smartbar.exe" [2014-04-23 28192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-12-05 1410344]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 172568]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2011-12-09 74752]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-11-21 959904]
"Simpo PDF Creator Lite Server"="c:\program files\Simpo PDF Creator Lite\SpcLiteSrv.exe" [2010-08-18 101376]
"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" [2013-06-20 295512]
"VirtualDrive"="c:\program files\FarStone\VirtualDrive\VDTask.exe" [2011-12-20 682584]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-07-02 254336]
.
c:\users\Wermutstropfen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
MyPC Backup.lnk - c:\program files\MyPC Backup\MyPC Backup.exe [2014-3-14 2901032]
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice\program\quickstart.exe [2010-12-13 1198592]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\3.8.141\SSScheduler.exe [2014-1-16 277920]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
2008-04-11 16:23 38400 ----a-w- c:\windows\System32\SoundSchemes.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
2008-08-28 09:50 30720 ----a-w- c:\windows\System32\soundschemes2.exe
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://www.v9.com/?type=hp&ts=1399137443&from=irs&uid=WDCXWD1600BPVT-00JJ5T0_WD-WXB1E81HTXP9HTXP9&i=psd&t=341f36e62
uInternet Settings,ProxyServer = http=127.0.0.1:8118;https=127.0.0.1:8118
uSearchAssistant = hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnWE23Qik11mFwB7WTYnaVdQO2kd5ixMQS9ihB1Ua3VJwNpKMcOyJQg76gqfE9JsSeOBgl-Z-aP37PfuY79jBXtuZsK9D5kM7B9-73OP1MzrFFj5SbN5KFkHYPpcDPvglWHbLxqzFgi5C-3-b-1TLodsbRww,&q={searchTerms}
IE: Zu Anti-Banner hinzufügen - c:\program files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\ie_banner_deny.htm
IE: { - c:\program files\ICQ7.7\ICQ.exe
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Wermutstropfen\AppData\Roaming\Mozilla\Firefox\Profiles\gwmqlo6e.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxps://vu.fernuni-hagen.de
FF - prefs.js: keyword.URL - hxxps://ixquick.com/do/search?cat=web&pl=ff&language=english_uk&query=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 8118
FF - prefs.js: network.proxy.ssl - 127.0.0.1
FF - prefs.js: network.proxy.ssl_port - 8118
FF - prefs.js: network.proxy.type - 1
FF - ExtSQL: 2014-04-29 10:22; anti_banner@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\anti_banner@kaspersky.com
FF - ExtSQL: 2014-04-29 10:22; content_blocker@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\content_blocker@kaspersky.com
FF - ExtSQL: 2014-04-29 10:22; online_banking@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\online_banking@kaspersky.com
FF - ExtSQL: 2014-04-29 10:22; url_advisor@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\url_advisor@kaspersky.com
FF - ExtSQL: 2014-04-29 10:22; virtual_keyboard@kaspersky.com; c:\program files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\virtual_keyboard@kaspersky.com
FF - ExtSQL: 2014-05-07 17:42; {0782648b-1717-4fef-ac58-8cb3ce03adb3}; c:\users\Wermutstropfen\AppData\Roaming\Mozilla\Firefox\Profiles\gwmqlo6e.default\extensions\{0782648b-1717-4fef-ac58-8cb3ce03adb3}.xpi
FF - ExtSQL: 2014-05-07 21:28; amazonsearch@throttled.org; c:\users\Wermutstropfen\AppData\Roaming\Mozilla\Firefox\Profiles\gwmqlo6e.default\extensions\amazonsearch@throttled.org.xpi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{10ad2c61-0898-4348-8600-14a342f22ac3} - (no file)
BHO-{31ad400d-1b06-4e33-a59a-90c2c140cba0} - (no file)
HKLM-Run-mobilegeni daemon - c:\program files\Mobogenie\DaemonProcess.exe
AddRemove-00212D92-C5D8-4ff4-AE50-B20F0F85C40A_Systweak_Ad~B9F029BF_is1 - c:\program files\Advanced System Protector\unins000.exe
AddRemove-BabylonToolbar - c:\program files\BabylonToolbar\BabylonToolbar\1.8.11.10\GUninstaller.exe
AddRemove-Caramava - c:\program files\Caramava\Caramavauninstall.exe
AddRemove-CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFAOR2C06_118 - c:\program files\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFAOR2C06_118\HXFSETUP.EXE
AddRemove-Mobogenie - c:\program files\Mobogenie\uninst.exe
AddRemove-MyPC Backup - c:\program files\MyPC Backup\uninst.exe
AddRemove-RegClean Pro_is1 - c:\program files\RegClean Pro\unins000.exe
AddRemove-rrsavings - c:\program files\rrsavings\uninstaller.exe
AddRemove-{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} - c:\programdata\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe
AddRemove-Video Converter - c:\program files\VideoConverter\Uninstall\Uninstall.exe
.
.
.
**************************************************************************
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mobilegeni daemon = c:\program files\Mobogenie\DaemonProcess.exe?????????????????????????????????????????????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien:
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\AntiToolbar\ReiGuard.exe
c:\program files\MyPC Backup\BackupStack.exe
c:\program files\LPT\srpts.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Mobogenie\MgAssist.exe
c:\program files\Nero\Update\NASvc.exe
c:\program files\RealNetworks\RealDownloader\rndlresolversvc.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\002\yewimmxqbs32.exe
c:\users\Wermutstropfen\AppData\Local\LPT\srptm.exe
c:\windows\system32\conime.exe
c:\windows\system32\SLUI.exe
c:\program files\OpenOffice\program\soffice.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\OpenOffice\program\soffice.bin
c:\program files\DAEMONTools\DiscSoftBusService.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\RealNetworks\RealDownloader\recordingmanager.exe
c:\progra~1\Java\jre7\bin\ssvagent.exe
c:\windows\system32\consent.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2014-05-24 20:06:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2014-05-24 18:06
.
Vor Suchlauf: 24 Verzeichnis(se), 20,093,153,280 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 25,479,987,200 Bytes frei
.
- - End Of File - - 34BF8B6A5F71A4B8DFFE8A4B8B83D4B9
5C616939100B85E558DA92B899A0FC36
|
Baum-Darstellung