| |
| |||||||
Log-Analyse und Auswertung: Verdacht auf üblen trojaner über AdopeseitenscriptWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
11.06.2009, 22:50
| #1 |
 |  Verdacht auf üblen trojaner über Adopeseitenscript Hallo liebe Community.Ich war letztens auf einer Internetseite und dort hat sich anstatt die Seite der Adope Acrobat Reader geöffnet und auf einmal war mein pc vollausgelastet für ca 20 sek. Dann hab ich im Internet gelesen das sich Trojaner über Internetseiten eine Lücke zunutze machen bei der man nichts machen muss ausser die Seite zu besuchen.Nun habe ich mich hier etwas eingelesen und glaube echt schon das ich mir was eingefangen habe.Könnte mir vielleicht bitte jemand das übersetzten oder auswerten was die ganzen Programme so an Loggs rausgeben?Ccleaner hab ich laufen lassen.Werde euch also noch den Malewarebyteslog und hijack und GMER log posten.Sagen tun mir die Logs leider nicht viel.Als hauptantivir hab ich immer AVG und Spybot am laufen.Seid ich jetzt das Forum hier durchblättert habe sind aber einige programme dazu gekommen weil ich den Tipps die hier anderen gegeben wurden versucht hab nachzukommen.Mein AVG hatte die letzten 3 Tage auch immer im Verzeichnis System23 eine sys Datei gefunden die er als Rootkid erkannt hat.Löschen/Heilen konnte ich diese nicht.Einen Tag später hatte sie auch einen anderen Namen.Heute konnte AVG nix finden :-/ Seid dieser Adopeseite im Internet habe ich auch das Gefühl als wenn mein Rechenr zwischendurch laggs hat und für 3 - 4 Sek ne hohe Auslastung.Aber wenn man diese ganzen Schreckensnachrichten liest kann man ja auch paranoid werden ^^ Hier mal das was GMER sagt GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-06-11 23:31:35 Windows 6.0.6001 Service Pack 1 ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 852901F8 AttachedDevice \Driver\tdx \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\tdx \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\tdx \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\tdx \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) ---- EOF - GMER 1.0.15 ---- hier finde ich den ersten eintrag beängstigend...irgendwie HiJack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:16:18, on 10.06.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\AVG\AVG8\avgtray.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Windows\system32\wbem\unsecapp.exe D:\Spybot - Search & Destroy\TeaTimer.exe C:\Windows\ehome\ehtray.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\AVG\AVG8\avgui.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Program Files\AVG\AVG8\avgcsrvx.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.mini20.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [QuickFinder Scheduler] "c:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE" O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\Windows\TEMP\E_SE85F.tmp" /EF "HKCU" O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user') O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Öffnen mit WordPerfect - c:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Dialer\a2service.exe O23 - Service: AAV UpdateService - Unknown owner - C:\Program Files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe -- End of file - 7833 bytes So Malewarebytslog und aktive Programme(hijack)kommt auch noch - Geändert von Aaalucarddd (11.06.2009 um 23:42 Uhr) |
|
11.06.2009, 23:35
| #2 |
| | Verdacht auf üblen trojaner über Adopeseitenscript Hijack - Programme
__________________AAVUpdateManager Adobe Flash Player 10 Plugin Adobe Flash Player 9 ActiveX Adobe Reader 8.1.3 - Deutsch AGEIA PhysX v7.09.13 Ask Toolbar AVG 8.5 Big Fish Games Center (remove only) Big Fish Games Sudoku (remove only) BioShock CCleaner (remove only) Cradle of Rome (remove only) EPSON Printer Software Fallout 3 FirstSteps Diagnostics FLV Player 2.0 (build 25) FSCLounge GIMP 2.4.5 Google Desktop Google Earth Google Toolbar for Internet Explorer Google Toolbar for Internet Explorer HijackThis 2.0.2 ICQ6.5 Luxor Amun Rising (remove only) Mahjong Towers Eternity EU (remove only) Malwarebytes' Anti-Malware Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB929729) Microsoft Games for Windows - LIVE Redistributable Microsoft Visual C++ 2005 Redistributable Mozilla Firefox (3.0.5) MSXML 4.0 SP2 (KB941833) MSXML 4.0 SP2 (KB954430) Mystery Case Files - Prime Suspects (remove only) Nero 7 Demo NVIDIA Drivers Opera 9.61 Picasa 2 Poker Superstars II (remove only) PunkBuster Services Realtek High Definition Audio Driver Roxio BackOnTrack Roxio Central Audio Roxio Central Copy Roxio Central Core Roxio Central Data Roxio Central Tools Roxio Express Labeler 3 Roxio File Backup Roxio Update Manager Roxio WinOnCD LE 10 Spybot - Search & Destroy Steuer-Spar-Erklärung 2009 TeamSpeak 2 RC2 Trojan Remover 6.7.9 TuneUp Utilities 2008 VideoLAN VLC media player 0.8.6f Virtual Villagers (remove only) WinPcap 4.0 WinRAR WordPerfect Office X3 WordPerfect Office X3 World of Warcraft Malwarebytes' Anti-Malware 1.37 Datenbank Version: 2255 Windows 6.0.6001 Service Pack 1 12.06.2009 00:24:15 mbam-log-2009-06-12 (00-24-15).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 206031 Laufzeit: 46 minute(s), 15 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
12.06.2009, 21:40
| #3 |
  | Verdacht auf üblen trojaner über Adopeseitenscript Hallo und
__________________ 1.) Deinstalliere:
ciao, andreas
__________________ |
|
12.06.2009, 23:50
| #4 |
| | Verdacht auf üblen trojaner über Adopeseitenscript OK habe jetzt erstmal alles deinstalliert bis auf den operabrowser.Wollte mir da erst meine Favoriten sichern.Also dachte ich mir an diesem Punkt ich lasse GMER doch mal so laufen......mitten im Scan brach er ab und schloss das Programm.Dann hab ichs nochmal versucht und ich bekam einen Blurscreen und ende.Hab das ganze nochmal versucht, gleiches ergebnis.Nun ist es sogar so das ich nach dem Bluescreen zwar noch die Anzeige auf - im gesicherten Modus starten - bekomme aber meine Tastatur nicht reagiert.nach 25 sek. startet Windows dann ja normal.Also komme ich auch nicht mehr in den abgesicherten Modus jetzt.Langsam krieg ich angst.Ich hab bei einem Durchlauf von Gmen einen Screenshot gemacht von den ersten Daten die er gefunden hat.vllt ist das ja schon ne Hilfe.Oje ich hab da grad kein gutes Gefühl mehr  |
|
12.06.2009, 23:55
| #5 |
| | Verdacht auf üblen trojaner über Adopeseitenscript hab noch eines machen können bevor er abstüzt. |
|
13.06.2009, 09:57
| #6 |
| | Verdacht auf üblen trojaner über Adopeseitenscript Danke erstmal für deine Bemühungen - wie unhöflich von mir.So heute etwas ausgeschlafener hab ich komplett deine Uninstallliste abgearbeitet und sogar statt VlC deinen als besser gewählten Player installiert.Gefällt mir bis jetzt auch gut.Hab das Scanprogramm laufen lassen welches 6 Sicherheitslücken enddeckt hat, welche ich dann solange bearbeitet habe bis ich vom Programm die 100% bekommen hab. Das gibt einem ja auch schonmal etwas mehr Sicherheitsgefühl. Nur Gmen funktioniert leider immer noch nicht.Anscheinend werden die Türchen kleiner aber der Bösewicht sitzt noch drinnen. |
|
| Themen zu Verdacht auf üblen trojaner über Adopeseitenscript |
| adobe, antivir, ask toolbar, askbar, auf einmal, auswerten, avg, bho, c:\windows\temp, defender, desktop, downloader, e-mail, explorer, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, malwarebytes' anti-malware, picasa, rundll, safer networking, scan, security, seiten, software, system, tcp, temp, trojaner, tuneup.defrag, udp, vista, windows sidebar, windows\temp |
Hybrid-Darstellung
