| |
| |||||||
Log-Analyse und Auswertung: mysqld-nt.exe und gefälschte DNSWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.05.2009, 17:31
| #1 |
| |  mysqld-nt.exe und gefälschte DNS Hallo, ich hab mir die "Kaspersky 30 Tage Testversion" installiert und dann kamen einige Meldungen die mir zu denken geben...  Ich habe den Free Download Manager bei mir laufen und hab mir vor kurzen unter anderem auch die Datei "rag_setup1210.exe" runtergeladen. Also klick ich, während Kaspersky läuft, aus versehen auf den Eintrag von der besagten Datei unter meinen Download Manager(Er startet die Datei nicht, sondern es wird einfach nur ausgewählt) und stelle fest das erst einmal mein Downloadmanager Internet haben möchte.... Aber das Ding ist, er verbindet auf "ragnarok2.kaspersky-labs.com". Vielleicht kennt jemand ja "Ragnarok Online", dass ist ein mmorpg und ich glaub kaum das die was mit Kaspersky am Hut haben... Also das macht mit schon mal Sorgen. Dazu kommt noch das die ausgewählte Datei auch noch plötzlich etwas erstellen will und zwar die Datei "IFinst27.exe" und die Datei ist wie ich im Internet gelesen habe eine Malware. Dann komm wir zum dritten seltsamen Punkt: "MYSQLD-NT.EXE > Windows Explorer > Free Download Manager" Was hat MYSQLD-NT.EXE bitte mit der Ausführung von von Windows Explorer zu tuen? Ich dachte die Datei könnte infiziert sein, aber ich habe sie bereits auf Virustotal gescannt und kein Scanner hat zugeschlagen. Aber nicht nur dort hat die Datei MYSQLD-NT.EXE etwas ausgeführt. Nein, so gut wie alles wird vorher von der Datei gesteuert. Aber was hat ein MySQL Programm mit den ausführen der Programme zu tun? Also wäre echt nett wenn mir da jemand helfen kann, denn es scheint so als hätte ich mir eine/n ziemlich schlimmen Virus/Malware eingefangen. Hier ist mein HijackThis-Log und Malwarebytes-Log. HijackThis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:53:28, on 09.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\taskswitch.exe C:\WINDOWS\system32\fast.exe D:\Programme\UltraMon\UltraMon.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\SOUNDMAN.EXE D:\Programme\UltraMon\UltraMonTaskbar.exe D:\Programme\Sandboxie\SbieCtrl.exe D:\xampp\apache\bin\apache.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe D:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe D:\xampp\mysql\bin\mysqld-nt.exe D:\Spiele\Gravity\RO\nProtect\npkcmsvc.exe C:\WINDOWS\system32\nvsvc32.exe D:\Programme\Sandboxie\SbieSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\Fast.exe D:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\system32\vmnetdhcp.exe D:\xampp\apache\bin\apache.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe D:\Programme\DAEMON Tools Lite\daemon.exe D:\Programme\RocketDock\RocketDock.exe D:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\programme\mozilla firefox\firefox.exe D:\Programme\Malwarebytes' Anti-Malware\mbam.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdm2.dll O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - D:\Programme\Styler\TB\StylerTB.dll O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing) O3 - Toolbar: QT Tab Standard Buttons - {d2bf470e-ed1c-487f-a666-2bd8835eb6ce} - mscoree.dll (file missing) O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe O4 - HKLM\..\Run: [UltraMon] "D:\Programme\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [cftmon] C:\WINDOWS\system32\cmdkay.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SandboxieControl] "D:\Programme\Sandboxie\SbieCtrl.exe" O4 - HKCU\..\Run: [uTorrent] "D:\Programme\uTorrent\uTorrent.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [feedreader.exe] "D:\Programme\FeedReader30\feedreader.exe" O4 - HKCU\..\Run: [Mal Updater 2] D:\Programme\Mal Updater 2\MalUpdater.exe O4 - HKCU\..\Run: [RouterControl] D:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [POP Peeper] "D:\Programme\POP Peeper\POPPeeper.exe" -min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Startup: Styler.lnk = ? O4 - Startup: Vista & XP Virtual Desktops.lnk = ? O4 - User Startup: Stardock ObjectDock.lnk = D:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - User Startup: Styler.lnk = ? O4 - User Startup: Vista & XP Virtual Desktops.lnk = ? O4 - Global Startup: MAL Updater.lnk = D:\Programme\Mal Updater 2\MalUpdater.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: Statistik fur den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: d:\programme\vmware\vmware workstation\vsocklib.dll O10 - Unknown file in Winsock LSP: d:\programme\vmware\vmware workstation\vsocklib.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Fences - {EC654325-1273-C2A9-2B7C-45A29BCE2FBD} - D:\Programme\Stardock\Fences\DesktopDock.dll O22 - SharedTaskScheduler: Deskscapes - {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - D:\Programme\Stardock\Object Desktop\DeskScapes\deskscapes.dll O22 - SharedTaskScheduler: Stardock Vista ControlPanel Extension - {EC654325-1273-C2A9-2B7C-45D29BCE68FD} - D:\Programme\Stardock\Object Desktop\DeskScapes\DesktopControlPanel.dll O22 - SharedTaskScheduler: StardockDreamController - {EC654325-1273-C2A9-2B7C-45D29BCE68FF} - D:\Programme\Stardock\Object Desktop\DeskScapes\DreamControl.dll O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - D:\Spiele\Gravity\RO\nProtect\npkcmsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Programme\WinPcap\rpcapd.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-ufad.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe -- End of file - 10076 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2099
Windows 5.1.2600 Service Pack 3
09.05.2009 17:52:07
mbam-log-2009-05-09 (17-52-01).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 384988
Laufzeit: 1 hour(s), 0 minute(s), 3 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
E:\Downloads\Firefox\Internet_TV_Setup.exe (Rogue.Installer) -> No action taken.
Geändert von Pandaren (09.05.2009 um 17:49 Uhr) |
|
| Themen zu mysqld-nt.exe und gefälschte DNS |
| avp, bho, bonjour, disabled.securitycenter, dll, download, explorer, firefox, free download, hijack, hkus\s-1-5-18, infiziert, internet, internet explorer, internet security, kaspersky, malwarebytes' anti-malware, mozilla, nvidia, programm, programme, registrierungsschlüssel, rundll, schutz, security, skype.exe, software, system, vista, windows, windows xp |
Linear-Darstellung
