| |
| |||||||
Log-Analyse und Auswertung: Malware durch dubiosen Downloader (Lightning Downloader)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.07.2015, 14:34
| #1 |
 |  Malware durch dubiosen Downloader (Lightning Downloader) Hallo Community, Gestern wollte ich mir ein Programm im Internet herunterladen und bin dummerweise an ein Downloader geraten, der mir wohl Adware ins System einschleusen wollte. Ich habe mitten während der "Installation", dann das Programm "Lightning Downloader" unterbrochen und musste feststellen, dass schon einiges an Malware auf meinem PC drauf war. Dazu gehörten Addons (in meinem Firefox Browser) wie "bestadblocker" und "CutThePrice". Außerdem befand sich eine LightEngine.dll (ich nehme mal an dies ist eine Datei des Downloaders) in c:\Program Files\LightEngine\. Dies alles sieht mir nach harmloser Adware aus, aber ich möchte trozdem auf nummer sicher gehen und mein System sauber bekommen. (Edit : Ich sehe gerade, dass diese Programme noch unter den installierten Programmen angezeigten werden, diese 3 werde ich dann mal löschen)  Direkt danach startet ich eine Vollständige Überprüfung in avast! Free Antivirus 2015. Hier das Logfile : Code:
ATTFilter File: c:\ProgramData\{7d844150-04ba-d93b-7d84-4415004b0540}\windows_7_loader_v2.1.1_by_daz__x86___x64_.zip.exe
Reference: Scheduler:\ChocoChug
Value: c:\programdata\{7d844150-04ba-d93b-7d84-4415004b0540}\windows_7_loader_v2.1.1_by_daz__x86___x64_.zip.exe
Result (1/14): 22: 1 0
File: c:\Program Files\LightEngine\LightEngine.dll
Reference: HKLM:System\CurrentControlSet\Services\d1fbfb97
Value: "C:\Windows\system32\rundll32.exe" "c:\Program Files\LightEngine\LightEngine.dll",serv
Result (1/14): 6: 1 259
File: c:\ProgramData\{7d844150-04ba-d93b-7d84-4415004b0540}\windows_7_loader_v2.1.1_by_daz__x86___x64_.zip.exe
Reference: JOB:C:\Windows\system32\Tasks\ChocoChug
Value: c:\programdata\{7d844150-04ba-d93b-7d84-4415004b0540}\windows_7_loader_v2.1.1_by_daz__x86___x64_.zip.exe
Result (2/14): 23: -1 3221225524
File: c:\Program Files\LightEngine\LightEngine.dll
Reference: HKLM:System\CurrentControlSet\Services\d1fbfb97
Value: "C:\Windows\system32\rundll32.exe" "c:\Program Files\LightEngine\LightEngine.dll",serv
Result (2/14): 6: -1 3221225524
File: C:\Program Files\bestadblocker\VJAdWddsCHA0bi.dll
Reference: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B7CE59D5-F64A-4489-B6BE-5D729DC1C5DE}
Value: {B7CE59D5-F64A-4489-B6BE-5D729DC1C5DE}
Result (2/14): 6: 1 2147483674
File: C:\Program Files\CutThePrice\Xufp14gmlrNyHh.dll
Reference: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B436A724-A956-441C-B9BC-1F28251FF5BF}
Value: {B436A724-A956-441C-B9BC-1F28251FF5BF}
Result (2/14): 6: 1 2147483674
 )Direkt danach führte ich einen Scan mit MalwareBytes Anti-Malware aus, hier die Logdatei : Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 09.07.2015 Suchlauf-Zeit: 14:48:50 Logdatei: MalwareBytesLog9.07.15.txt Administrator: Ja Version: 2.01.6.1022 Malware Datenbank: v2015.07.09.02 Rootkit Datenbank: v2015.07.07.01 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x86 Dateisystem: NTFS Benutzer: Hek Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 308522 Verstrichene Zeit: 7 Min, 54 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristik: Aktiviert PUP: Warnen PUM: Aktiviert Prozesse: 0 (Keine schädliche Elemente gefunden) Module: 0 (Keine schädliche Elemente gefunden) Registrierungsschlüssel: 3 PUP.Optional.MultiPlug, HKU\S-1-5-21-2290024371-3984154701-145341786-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}, , [9c1a99464b3fe2541ef1edd06b97d030], PUP.Optional.MultiPlug.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{d1fbfb97}, , [efc76e71b9d18ea85dae028910f407f9], PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE, , [5363647bcebc54e28333ed9fd23251af], Registrierungswerte: 1 PUM.Security.Hijack.DisableChromeUpdates, HKLM\SOFTWARE\POLICIES\GOOGLE\UPDATE|DisableAutoUpdateChecksCheckboxValue, 1, , [5363647bcebc54e28333ed9fd23251af] Registrierungsdaten: 0 (Keine schädliche Elemente gefunden) Ordner: 3 PUP.Optional.MultiPlug.A, C:\Users\King Haze\AppData\Local\Google\Chrome\User Data\Default\Extensions\decglnkhpfoocpafihfbeodhgofefaoc\121, , [9d1931ae54368fa7f53d91f3a75de51b], PUP.Optional.MultiPlug.A, C:\Users\King Haze\AppData\Local\Google\Chrome\User Data\Default\Extensions\decglnkhpfoocpafihfbeodhgofefaoc, , [9d1931ae54368fa7f53d91f3a75de51b], PUP.Optional.MultiPlug, C:\ProgramData\cnbclgkjlknknhkddlaibldilknjfnjd, , [d6e01ac5a2e82016b3cc790c9a6a24dc], Dateien: 12 PUP.Optional.LightningDownloader.A, C:\Users\King Haze\AppData\Local\Temp\EB28\temp\lightningdownloader.exe, , [e7cfcf10dfabb086b17f5df8ca36ed13], Hacktool.Agent, C:\Users\King Haze\Downloads\Windows 7 loader bY Deki.rar, , [bcfa08d7c1c9fc3a6d71e42bb74aa858], PUP.Optional.MultiPlug.A, C:\Users\King Haze\AppData\Local\Google\Chrome\User Data\Default\Extensions\decglnkhpfoocpafihfbeodhgofefaoc\121\lsdb.js, , [9d1931ae54368fa7f53d91f3a75de51b], PUP.Optional.MultiPlug.A, C:\Users\King Haze\AppData\Local\Google\Chrome\User Data\Default\Extensions\decglnkhpfoocpafihfbeodhgofefaoc\121\background.html, , [9d1931ae54368fa7f53d91f3a75de51b], PUP.Optional.MultiPlug.A, C:\Users\King Haze\AppData\Local\Google\Chrome\User Data\Default\Extensions\decglnkhpfoocpafihfbeodhgofefaoc\121\content.js, , [9d1931ae54368fa7f53d91f3a75de51b], PUP.Optional.MultiPlug.A, C:\Users\King Haze\AppData\Local\Google\Chrome\User Data\Default\Extensions\decglnkhpfoocpafihfbeodhgofefaoc\121\HuXvrgDLc.js, , [9d1931ae54368fa7f53d91f3a75de51b], PUP.Optional.MultiPlug.A, C:\Users\King Haze\AppData\Local\Google\Chrome\User Data\Default\Extensions\decglnkhpfoocpafihfbeodhgofefaoc\121\manifest.json, , [9d1931ae54368fa7f53d91f3a75de51b], PUP.Optional.MultiPlug, C:\ProgramData\cnbclgkjlknknhkddlaibldilknjfnjd\lsdb.js, , [d6e01ac5a2e82016b3cc790c9a6a24dc], PUP.Optional.MultiPlug, C:\ProgramData\cnbclgkjlknknhkddlaibldilknjfnjd\background.html, , [d6e01ac5a2e82016b3cc790c9a6a24dc], PUP.Optional.MultiPlug, C:\ProgramData\cnbclgkjlknknhkddlaibldilknjfnjd\content.js, , [d6e01ac5a2e82016b3cc790c9a6a24dc], PUP.Optional.MultiPlug, C:\ProgramData\cnbclgkjlknknhkddlaibldilknjfnjd\manifest.json, , [d6e01ac5a2e82016b3cc790c9a6a24dc], PUP.Optional.MultiPlug, C:\ProgramData\cnbclgkjlknknhkddlaibldilknjfnjd\V2hMaS.js, , [d6e01ac5a2e82016b3cc790c9a6a24dc], Physische Sektoren: 0 (Keine schädliche Elemente gefunden) (end) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 15:40:13, on 09.07.2015 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Internet Explorer v10.0 (10.00.9200.16750) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Program Files\Thunder Master\THPanel.exe C:\Windows\system32\taskhost.exe C:\Windows\Explorer.EXE C:\Windows\System32\rundll32.exe C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe C:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe C:\Program Files\MSI\Super-Charger\Super-Charger.exe C:\Program Files\AVAST Software\Avast\AvastUI.exe C:\Program Files\NVIDIA Corporation\Display\nvtray.exe C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\NOTEPAD.EXE C:\Windows\system32\NOTEPAD.EXE D:\Program Files\Steam\Steam.exe D:\Program Files\Steam\bin\steamwebhelper.exe D:\Program Files\Steam\bin\steamwebhelper.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\King Haze\Downloads\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dell.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/p/?LinkId=255141 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=255141 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.8.0_45\bin\ssv.dll O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - c:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre1.8.0_45\bin\jp2ssv.dll O2 - BHO: DVDVideoSoft.WebPageAdjuster - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - (no file) O4 - HKLM\..\Run: [RTHDVCPL] "C:\Program Files\Realtek\Audio\HDA\RtkNGUI.exe" -s O4 - HKLM\..\Run: [IMSS] "C:\Program Files\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" O4 - HKLM\..\Run: [USB3MON] "C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" O4 - HKLM\..\Run: [Super-Charger] C:\Program Files\MSI\Super-Charger\Super-Charger.exe O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [NvBackend] "C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe" O4 - HKLM\..\Run: [ShadowPlay] C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap.dll,ShadowPlayOnSystemStart O4 - HKCU\..\Run: [THPanel] "C:\Program Files\Thunder Master\THPanel.exe" /A O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O8 - Extra context menu item: Free YouTube Download - C:\Program Files\Common Files\DVDVideoSoft\plugins\freeytvdownloader.htm O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Program Files\Common Files\DVDVideoSoft\plugins\freeytmp3downloader.htm O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O15 - Trusted Zone: *.clonewarsadventures.com O15 - Trusted Zone: *.freerealms.com O15 - Trusted Zone: *.soe.com O15 - Trusted Zone: *.sony.com O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: Avast Antivirus (avast! Antivirus) - Avast Software s.r.o. - C:\Program Files\AVAST Software\Avast\AvastSvc.exe O23 - Service: AvastVBox COM Service (AvastVBoxSvc) - Avast Software - C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe O23 - Service: Avira Service Host (Avira.OE.ServiceHost) - Unknown owner - C:\Program Files\Avira\My Avira\Avira.OE.ServiceHost.exe (file missing) O23 - Service: BitRaider Mini-Support Service Stub Loader (BRSptStub) - BitRaider, LLC - C:\ProgramData\BitRaider\BRSptStub.exe O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - C:\Program Files\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe O23 - Service: NVIDIA GeForce Experience Service (GfExperienceService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe O23 - Service: Intel(R) Capability Licensing Service TCP IP Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn Hamachi\LMIGuardianSvc.exe O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: MSI_SuperCharger - MSI - C:\Program Files\MSI\Super-Charger\ChargeService.exe O23 - Service: MSI_Trigger_Service - MICRO-STAR INTERNATIONAL CO., LTD. - C:\Program Files\MSI\MSITrigger\MSI_Trigger_Service.exe O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Razer Game Scanner (Razer Game Scanner Service) - Unknown owner - C:\Program Files\Razer\Razer Services\GSS\GameScannerService.exe O23 - Service: RzKLService - Razer Inc. - C:\Program Files\Razer\Razer Cortex\RzKLService.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- End of file - 8727 bytes Geändert von Chillzz (09.07.2015 um 14:44 Uhr) |
| Themen zu Malware durch dubiosen Downloader (Lightning Downloader) |
| adware, antivirus, avast, boot, browser, computer, dateien, downloader, explorer, firefox, free, helper, installation, internet, lightning, logfile, malware, microsoft, programm, rundll, rundll32.exe, scan, software, system, system32, windows |
Baum-Darstellung