| |
| |||||||
Log-Analyse und Auswertung: WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemoverWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.11.2009, 14:59
| #1 |
| |  WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover Hallo zusammen, ich habe folgendes Problem. Gestern kamen beim Besuch eines externen links einer (bis dato vetrauenswürdigen) Seite - noch während des Seitenaufbaus - Update-Meldungen meines Computers (wie schon 1000mal zuvor). Ich weiß nur noch, dass Java sich gemeldet hat und nachdem NortonAV alles als vertrauenswürdig eingestuft hat, habe ich "dummerweise" ohne genaueres Hinsehen auf akzeptieren gedrückt. Danach ging alles recht schnell. Die Seite stockt im Aufbau, im Hintergrund arbeitet der Rechner und aus der Taskleiste poppt ein recht professionell aussehendes Fenster hoch (in der Taskleiste war ein Symbol, das dem Sicherheitcenter sehr ähnlich sah): Ihr Rechner ist potenziellen Gefährdungen ausgessetzt oder so ähnlich... Reaktion von Norton gleich null. Dann ist ein Fenster (Advanced Virus Remover aufgegangen) und hat mich mit Meldungen bombardiert und zugegebenermaßen etwas theadralisch meinen Dekstophintergrund durch ein: "your computer is infected" in roten Lettern ersetzt. Da war trotz profesioneller Hülle schnell klar, dass etwas faul sein muss. Für jedes geschlossene Fenster sind 2 aufgegangen und der Taskmanager war deaktiviert. Habe den Rechner sofort vom Netz genommen und SUPERAntiSpyware starten können und nach 2maligen Neustarten hat es folgende Elemente erkannt und unter Quarantäne gesetzt: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 11/17/2009 at 03:37 PM
Application Version : 4.29.1004
Core Rules Database Version : 4179
Trace Rules Database Version: 2075
Scan type : Quick Scan
Total Scan Time : 00:21:20
Memory items scanned : 799
Memory threats detected : 1
Registry items scanned : 204
Registry threats detected : 0
File items scanned : 0
File threats detected : 1
Adware.Vundo/Variant-MSFake
C:\WINDOWS\SYSTEM32\WINUPDATE86.EXE
C:\WINDOWS\SYSTEM32\WINUPDATE86.EXE
Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 11/17/2009 at 05:10 PM
Application Version : 4.29.1004
Core Rules Database Version : 4179
Trace Rules Database Version: 2075
Scan type : Complete Scan
Total Scan Time : 01:16:56
Memory items scanned : 703
Memory threats detected : 0
Registry items scanned : 7381
Registry threats detected : 6
File items scanned : 27157
File threats detected : 4
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[3].txt
Rogue.AdvancedVirusRemover
HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run#Advanced Virus Remover [ C:\Program Files\AdvancedVirusRemover\AVR.exe ]
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Advanced Virus Remover.lnk
C:\Dokumente und Einstellungen\Besitzer\Desktop\Advanced Virus Remover.lnk
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Advanced Virus Remover.lnk
HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR
HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#LastVFC
HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#VirList
HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#LastD
HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#LastScan
Erste Bilanz waren ein ausgetauschter Desktophintergrund, ein deaktivierter Taskmanager und die Tatsache, dass Google-Suchen deaktiviert waren. Ein erster Hijackthis-scan hat dann auch komische Einträge angezeigt (s.u.) Habe dann die Schritte, die hier im Forum empfohlen werden befolgt: - CCleaner - Malwarebytes-Komplettscan (inclusive USB-Stick): Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3189
Windows 5.1.2600 Service Pack 3
18.11.2009 00:35:25
mbam-log-2009-11-18 (00-35-06).txt
Scan-Methode: Vollständiger Scan (C:\|G:\|H:\|)
Durchsuchte Objekte: 248404
Laufzeit: 2 hour(s), 23 minute(s), 18 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 2
Infizierte Dateien: 10
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK (Refog.Keylogger) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1 (Refog.Keylogger) -> No action taken.
Infizierte Dateien:
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\itOn.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B83D99E9-7680-465F-992B-EE7BF08FDE2C}\RP501\A0091020.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\winhelper86.dll (Trojan.Fakeinit) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\M0000 (Refog.Keylogger) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\S0000 (Refog.Keylogger) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1\D0000 (Refog.Keylogger) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1\S0000 (Refog.Keylogger) -> No action taken.
C:\WINDOWS\system32\critical_warning.html (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
- RSIt.exe: Log-File ist angehängt Scans heute morgen konnten keine infizierten Elemente mehr finden. Google-Suche funktionniert nach wie vor nicht, was mit den Einträgen zusammenhängt. Wollte vor dem Posting allerdings erstmal nichts manuell verändern. Meine nächsten Schritte wären erstmal die Datensicherung (nach der Chip.de-Anleitung mit Ubuntu von nem nicht-infizierten System aus...). Jeder normale Mensch würde mir sicher raten, das System komplett platt zu machen und neu aufzusetzen, allerdings ist jede Menge Software drauf, die ich für meine Abschlussarbeit benötige und an die ich in der Schnelle nicht wieder rankommen werde. Eventuell lässt sich ja kurzfristig doch noch was retten (auch wenn das sicher sehr naiv klingen muss). Und falls ja, wie schütze ich bis dahin meinen Rechner einigermaßen effektiv ? Norton hat abgelaufene Virendefinitionen und deinstallieren ist schlecht. Nachdem ich in meinem Institut hinter ner einigermaßen guten Firewall sitze, habe ich fahrlässigerweise keinen Gedanken daran verschwendet (bis gestern...). Ich hoffe, ich habe alle Informationen gemäß den Forenregeln liefern können und wäre für Hilfe/Ratschläge sehr dankbar  .Grüße |
|
19.11.2009, 09:05
| #2 | ||
| /// Helfer-Team    | WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover Hallo und Herzlich Willkommen!
__________________ Zitat:
1. Lade dir HostsXpert auf dem Desktop speichern & und entpacken
2. Falls noch vorhanden, fixe alle Einträge mit: "O1 - Hosts: " Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen 3. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! 4. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 5. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 6. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 7. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
|
26.11.2009, 23:59
| #3 |
| | WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover Hallo Coverflow =),
__________________vielen herzlichen Dank für die Antwort erstmal. Meine kommt mit etwas Verspätung, da der Rechner bis auf weiteres erstmal vom Netz genommen wurde. Also: Die Norton-Lizenz war seit ca. 2 Monaten ausgelaufen und ich war am Zögern, ob ich sie verlängern soll oder doch lieber ein anderes AV installiere. Das wollte ich eigentlich mit dem Wiederaufsetzen des Systems in nem Monat oder so erledigen. Hätte ich es besser mal verlängert  .Habe Norton jetzt erstmal mit dem offiziellen Removal-Tool entfernt und Avast (free edition) installiert. Natürlich alles offline und von externen Medien. Avast hat dann einen Scan im abgesicherten Modus durchgeführt und nichts finden können. Desweiteren wurden ausführliche Scans mit SpyBot, SuperAntiSpyWare, dem MalwarebytesTool und Prevx gemacht und es konnten keine weiteren Infizierungen festgestellt werden. Dann habe ich die Punkte von deiner Checkliste abgearbeitet: 1. Hostexpert: wurde runtergeladen und teilt mir folgende Fehlermeldung mit: Error: Can’t create file C:\Windows\system32\drivers\ETC\hosts 2. Die O1 Host – Einträge wurden gefixt und Google und Yahoo-Suche funktioniert wieder einwandfrei 3. HijackThis-File: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:23:25, on 26.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Prevx\prevx.exe C:\WINDOWS\system32\hasplms.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Carl Zeiss\MTB 2004\MTB Server Console\MTBService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Winamp\winampa.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre6\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\neuf telecom\neuf Box\Wizard\QuickAccess.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Prevx\prevx.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.* F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\IDM\QUICKfind\PlugIns\IEHelp.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Programme\neuf telecom\neuf Box\Wizard\QuickAccess.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1258560667281 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Informax\Vector NTI Suite 9\Ncbi.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe O23 - Service: Google Update Service (gupdate1c9f7e577e6ffee) (gupdate1c9f7e577e6ffee) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MTB Server (MTBService) - Carl Zeiss - C:\Programme\Carl Zeiss\MTB 2004\MTB Server Console\MTBService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe -- End of file - 11169 bytes 4. Alle Dateien wurden sichtbar gemacht. 5. Filelist - wie gewünscht alle Einträge der letzten 6 Monate: --> siehe nächster Post...(zwecks Übersichtlichkeit) 6. CCleaner - installierte Programme: Code:
ATTFilter ABBYY FineReader 5.0 Sprint
AC3Filter (remove only)
Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Illustrator CS
Adobe Photoshop CS
Adobe SVG Viewer 3.0
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
Avant Browser (remove only)
avast! Antivirus
BioEdit
BSPlayer
Call of Duty
Carl Zeiss AxioVision Rel. 4.7.2
CCleaner
Command & Conquer Generals
Command and ConquerTM Generals Zero Hour
Compatibility Pack for the 2007 Office system
DivX Codec
DivX Converter
DivX Player
DivX Web Player
eMule
EndNote 9 Volume License Edition
G-Force
Google Chrome
Google Earth
High Definition Audio - KB888111
HijackThis 2.0.2
ImageJ 1.36b
Installation de la neuf BOX
ISI ResearchSoft - Export Helper
Java(TM) 6 Update 17
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Lexmark X1100 Series
Logitech Desktop Messenger
Logitech QuickCam-Software
Logitech® Camera-Treiber
LSM Image Browser, Release 4.2
Malwarebytes' Anti-Malware
MATLAB(R) Compiler Runtime 7.8
MediaCoder 0.6.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office XP Standard
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Motorola SM56 Data Fax Modem
Mozilla Firefox (3.0.15)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Nero Suite
No23 Recorder
Oxford Advanced Learner's Dictionary - 7th edition
PC Inspector File Recovery
PowerCinema Linux 4.0
Prevx
Project64 1.6
QUICKfind
QuickTime
RealPlayer
Realtek High Definition Audio Driver
Rhapsody Player Engine
SA30xx Device Manager
SA30xx Media Converter
Skype™ 3.8
Spybot - Search & Destroy
StreamPlug Player
SUPERAntiSpyware Free Edition
Synaptics Pointing Device Driver
Unlocker 1.8.7
Van Dale Grote woordenboeken Duits
Vector NTI 9
VeohTV BETA
VideoLAN VLC media player 0.8.6i
Winamp
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR
Wolfenstein - Enemy Territory
7. Gmer - Logfile: ist angehängt... Der Rechner läuft einigermaßen gut (dafür, dass er augenblicklich datenmäßig so zugemüllt ist und verschiedene Scan-Programme parallel laufen...). Einzig allein die Systemauslastung (kurzfristige hohe Peaks) bzw. die Sprünge beim Aufrufen beider Browser (Firefox und Avant) machen mich nach wie vor skeptisch..., wobei ich mir nicht sicher bin, ob das nicht mit der Festplatte zusammenhängt  Sollte noch irgendeine Information fehlen, werde ich sie selbstverständlich zügiger nachreichen - die Antwort hat nur so lange auf sich warten lassen, weil ich erstmal meine ganzen Daten sichern wollte/musste. Vielen Dank im Voraus Geändert von Gonzo (27.11.2009 um 00:14 Uhr) Grund: Fehler |
|
27.11.2009, 00:06
| #4 |
| | WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover Menupünkt 6: Filelist: Code:
ATTFilter
----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64A8-D28C
Verzeichnis von C:\
26.11.2009 22:32 43 filelist.txt
26.11.2009 11:37 1.610.612.736 pagefile.sys
17.11.2009 15:07 1 s
13 Datei(en) 1.610.918.882 Bytes
0 Verzeichnis(se), 1.704.374.272 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64A8-D28C
Verzeichnis von C:\WINDOWS
26.11.2009 21:37 1.155.457 WindowsUpdate.log
26.11.2009 11:38 0 0.log
26.11.2009 11:37 159 wiadebug.log
26.11.2009 11:37 50 wiaservc.log
26.11.2009 11:37 2.048 bootstat.dat
26.11.2009 11:35 32.348 SchedLgU.Txt
26.11.2009 01:42 116 NeroDigital.ini
25.11.2009 03:01 4.048 comsetup.log
25.11.2009 03:01 1.960 iis6.log
25.11.2009 03:01 2.458 ntdtcsetup.log
25.11.2009 03:01 1.393 imsins.log
25.11.2009 03:01 684 ocmsn.log
25.11.2009 03:01 4.718 tsoc.log
25.11.2009 03:01 4.239 KB976098-v2.log
25.11.2009 03:01 5.912 ocgen.log
25.11.2009 03:01 618 msgsocm.log
25.11.2009 03:01 12.366 FaxSetup.log
25.11.2009 03:01 3.043 setupapi.log
25.11.2009 03:01 7.654 KB973687.log
25.11.2009 03:01 1.393 imsins.BAK
25.11.2009 03:01 0 setuperr.log
25.11.2009 03:01 0 setupact.log
25.11.2009 03:01 508 updspapi.log
25.11.2009 03:00 314.944 msxml4-KB973688-enu.LOG
20.11.2009 03:02 832 win.ini
18.11.2009 17:28 51 wininit.ini
16.11.2009 16:52 73.728 ALCFDRTM.VER
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64A8-D28C
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 1.704.353.792 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64A8-D28C
Verzeichnis von C:\WINDOWS\system32
25.11.2009 03:01 592.614 TZLog.log
18.11.2009 23:06 3.002 CONFIG.NT
18.11.2009 17:28 53.136 PxSecure.dll
18.11.2009 17:15 2.206 wpa.dbl
18.11.2009 16:00 71.394 perfc009.dat
18.11.2009 16:00 441.458 perfh009.dat
18.11.2009 16:00 459.396 perfh007.dat
18.11.2009 16:00 84.722 perfc007.dat
18.11.2009 16:00 1.070.080 PerfStringBackup.INI
17.11.2009 15:32 0 18467.exe
12.11.2009 10:17 210.488 FNTCACHE.DAT
05.11.2009 18:36 26.768.832 MRT.exe
04.11.2009 16:29 3.617 jupdate-1.6.0_17-b04.log
28.10.2009 16:07 46.080 tzchange.exe
22.10.2009 10:16 5.939.712 mshtml.dll
15.10.2009 18:01 4.479 jupdate-1.6.0_15-b03.log
11.10.2009 04:17 149.280 javaws.exe
11.10.2009 04:17 145.184 javaw.exe
11.10.2009 04:17 145.184 java.exe
11.10.2009 04:17 411.368 deploytk.dll
11.10.2009 02:14 73.728 javacpl.cpl
15.09.2009 12:59 1.279.968 aswBoot.exe
15.09.2009 12:53 97.480 AvastSS.scr
11.09.2009 15:17 136.192 msv1_0.dll
04.09.2009 22:03 58.880 msasn1.dll
01.09.2009 15:46 282.654 msaud32.acm
29.08.2009 08:54 916.480 wininet.dll
29.08.2009 08:54 1.208.832 urlmon.dll
29.08.2009 08:54 206.848 occache.dll
29.08.2009 08:54 55.296 msfeedsbs.dll
29.08.2009 08:54 594.432 msfeeds.dll
29.08.2009 08:54 25.600 jsproxy.dll
29.08.2009 08:54 1.469.440 inetcpl.cpl
29.08.2009 08:54 1.985.536 iertutil.dll
29.08.2009 08:54 184.320 iepeers.dll
29.08.2009 08:54 11.069.440 ieframe.dll
29.08.2009 08:54 387.584 iedkcs32.dll
28.08.2009 11:35 173.056 ie4uinit.exe
26.08.2009 09:00 247.326 strmdll.dll
20.08.2009 15:09 1.193.832 FM20.DLL
14.08.2009 16:10 1.850.752 win32k.sys
06.08.2009 19:23 17.776 mucltui.dll.mui
06.08.2009 19:23 274.288 mucltui.dll
06.08.2009 19:23 215.904 muweb.dll
06.08.2009 18:24 209.632 wuweb.dll
06.08.2009 18:24 327.896 wucltui.dll
06.08.2009 18:24 18.144 wuaueng.dll.mui
06.08.2009 18:24 44.768 wups2.dll
06.08.2009 18:24 217.816 wuaucpl.cpl
06.08.2009 18:24 35.552 wups.dll
06.08.2009 18:24 15.584 wuapi.dll.mui
06.08.2009 18:24 53.472 wuauclt.exe
06.08.2009 18:24 96.480 cdm.dll
06.08.2009 18:24 15.584 wuaucpl.cpl.mui
06.08.2009 18:24 23.264 wucltui.dll.mui
06.08.2009 18:23 575.704 wuapi.dll
06.08.2009 18:23 1.929.952 wuaueng.dll
05.08.2009 09:59 206.336 mswebdvd.dll
04.08.2009 21:56 2.191.488 ntoskrnl.exe
04.08.2009 18:26 2.068.352 ntkrnlpa.exe
31.07.2009 10:02 1.372.672 msxml6.dll
31.07.2009 05:32 1.172.480 msxml3.dll
21.07.2009 00:05 1.348.432 msxml4.dll
17.07.2009 20:01 58.880 atl.dll
17.07.2009 17:15 1.441.792 query.dll
13.07.2009 22:43 286.208 wmpdxm.dll
13.07.2009 22:43 10.841.088 wmp.dll
29.06.2009 09:40 57.667 ieuinit.inf
25.06.2009 09:25 301.568 kerberos.dll
25.06.2009 09:25 56.832 secur32.dll
25.06.2009 09:25 737.792 lsasrv.dll
25.06.2009 09:25 54.272 wdigest.dll
25.06.2009 09:25 147.456 schannel.dll
22.06.2009 07:45 726.528 jscript.dll
16.06.2009 15:36 81.920 fontsub.dll
16.06.2009 15:36 119.808 t2embed.dll
15.06.2009 11:43 78.848 telnet.exe
10.06.2009 15:13 85.504 avifil32.dll
10.06.2009 08:19 2.066.432 mstscax.dll
10.06.2009 07:14 132.096 wkssvc.dll
03.06.2009 20:09 1.296.896 quartz.dll
20.05.2009 03:56 2.458.112 WMVCore.dll
12.05.2009 09:55 3.774 jupdate-1.6.0_13-b03.log
07.05.2009 16:32 348.160 localspl.dll
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64A8-D28C
Verzeichnis von C:\WINDOWS\Prefetch
26.11.2009 22:32 10.600 FIND.EXE-0EC32F1E.pf
26.11.2009 22:32 10.530 CMD.EXE-087B4001.pf
26.11.2009 22:24 88.654 WINWORD.EXE-259486DA.pf
26.11.2009 22:24 42.796 AVANT.EXE-2445C747.pf
26.11.2009 22:23 32.758 NOTEPAD.EXE-336351A9.pf
26.11.2009 22:23 69.392 WMIPRVSE.EXE-28F301A9.pf
26.11.2009 22:23 87.958 HIJACKTHIS.EXE-39024128.pf
26.11.2009 22:12 25.404 HOSTSXPERT.EXE-229FA78E.pf
26.11.2009 22:12 21.298 VERCLSID.EXE-3667BD89.pf
26.11.2009 22:03 18.726 AGENTSVR.EXE-002E45AB.pf
26.11.2009 21:46 7.382 JQSNOTIFY.EXE-1E60A522.pf
26.11.2009 21:42 55.654 GOOGLEUPDATE.EXE-187AE91D.pf
26.11.2009 21:37 25.088 WUAUCLT.EXE-399A8E72.pf
26.11.2009 20:00 61.192 JAVA.EXE-2167859B.pf
26.11.2009 19:53 64.078 AVAST.SETUP-2B043760.pf
26.11.2009 19:47 70.974 DFRGNTFS.EXE-269967DF.pf
26.11.2009 19:47 16.008 DEFRAG.EXE-273F131E.pf
26.11.2009 19:46 380.324 Layout.ini
26.11.2009 19:18 23.390 IMAPI.EXE-0BF740A4.pf
26.11.2009 19:17 52.538 WINAMP.EXE-08C38ED9.pf
26.11.2009 19:17 20.946 TASKMGR.EXE-20256C55.pf
26.11.2009 15:54 37.286 REALPLAY.EXE-1BF219BD.pf
26.11.2009 12:25 111.136 FIREFOX.EXE-1D57670A.pf
26.11.2009 11:47 69.124 SKYPEPM.EXE-03F1BFBD.pf
26.11.2009 11:47 63.760 SKYPE.EXE-21F19BC8.pf
26.11.2009 11:40 61.134 SETUP.OVR-10EB9DE2.pf
26.11.2009 11:39 64.896 SSUPDATE.EXE-185A370A.pf
26.11.2009 11:39 16.818 OSA.EXE-0082CBE3.pf
26.11.2009 11:39 78.016 CLI.EXE-02B0DB56.pf
26.11.2009 11:39 13.326 LDMCONF.EXE-2E2A6E1D.pf
26.11.2009 11:39 7.612 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
26.11.2009 11:39 22.292 FXSVR2.EXE-060F7A64.pf
26.11.2009 11:39 11.218 ACROBAT_SL.EXE-0BEB5E3D.pf
26.11.2009 11:39 25.636 TEATIMER.EXE-38E505A8.pf
26.11.2009 11:39 14.870 SUPERANTISPYWARE.EXE-033808EC.pf
26.11.2009 11:39 78.308 MBAM.EXE-11D8BBD8.pf
26.11.2009 11:38 13.070 QUICKACCESS.EXE-04D8AE5B.pf
26.11.2009 11:38 11.176 LXBKBMON.EXE-2C462B38.pf
26.11.2009 11:38 10.966 LOGITRAY.EXE-12374063.pf
26.11.2009 11:38 8.482 LVCOMSX.EXE-0AC1D558.pf
26.11.2009 11:38 23.462 REALSCHED.EXE-0A2A7558.pf
26.11.2009 11:38 9.062 LXBKBMGR.EXE-14B8319B.pf
26.11.2009 11:38 14.134 MANIFESTENGINE.EXE-06F4B0B1.pf
26.11.2009 11:38 8.416 ISSTART.EXE-04190A5C.pf
26.11.2009 11:38 8.586 QTTASK.EXE-2D7EEF34.pf
26.11.2009 11:38 2.648 ACROTRAY.EXE-195EEA28.pf
26.11.2009 11:38 12.878 SYNTPLPR.EXE-0AB61C3B.pf
26.11.2009 11:38 6.324 NEROCHECK.EXE-092C6DFA.pf
26.11.2009 11:38 11.012 SOUNDMAN.EXE-19745A34.pf
26.11.2009 11:38 50.076 PREVX.EXE-208A6FD4.pf
26.11.2009 11:38 70.182 EXPLORER.EXE-082F38A9.pf
26.11.2009 11:38 5.542 ION_INSTALL.EXE-0A509B4F.pf
26.11.2009 11:38 14.018 USERINIT.EXE-30B18140.pf
26.11.2009 11:38 18.502 ATI2EVXX.EXE-19D16EB9.pf
26.11.2009 11:38 10.156 ALCMTR.EXE-235F9538.pf
26.11.2009 11:38 12.500 GOOGLECRASHHANDLER.EXE-2652FEB7.pf
26.11.2009 11:38 12.292 HDASHCUT.EXE-1B000CA9.pf
26.11.2009 11:38 1.319.384 NTOSBOOT-B00DFAAD.pf
26.11.2009 11:35 9.738 WSCNTFY.EXE-1B24F5EB.pf
26.11.2009 11:35 28.542 LOGONUI.EXE-0AF22957.pf
26.11.2009 11:32 21.584 WORDPAD.EXE-1EFCC5C1.pf
26.11.2009 06:29 62.156 HELPSVC.EXE-2878DDA2.pf
26.11.2009 04:12 22.278 DCIBTUMH.EXE-00985333.pf
26.11.2009 04:11 16.606 RUNDLL32.EXE-2DD9023C.pf
26.11.2009 04:11 10.996 LOGON.SCR-151EFAEA.pf
26.11.2009 04:11 38.336 RUNDLL32.EXE-17BD4855.pf
26.11.2009 04:08 51.258 LAUNCHER.EXE-1FC6514E.pf
26.11.2009 04:07 31.260 RUNDLL32.EXE-1407BC61.pf
26.11.2009 04:07 58.442 RUNDLL32.EXE-1C107653.pf
26.11.2009 04:07 27.370 RUNDLL32.EXE-1187FB71.pf
26.11.2009 03:55 39.780 SPYBOTSD.EXE-1D495A65.pf
26.11.2009 02:52 25.962 DIVXSM.EXE-3407AB62.pf
26.11.2009 01:42 109.482 BSPLAYER.EXE-1A722B99.pf
25.11.2009 19:29 14.482 SWDNLD.EXE-233A79B9.pf
25.11.2009 11:48 75.604 ACROBAT.EXE-02E9AE67.pf
25.11.2009 11:46 14.844 ALG.EXE-0F138680.pf
25.11.2009 11:46 19.498 WMIAPSRV.EXE-1E2270A5.pf
25.11.2009 11:46 19.646 ASHWEBSV.EXE-091EF0CF.pf
25.11.2009 11:46 20.086 ASHMAISV.EXE-24E25810.pf
25.11.2009 11:45 13.828 CTFMON.EXE-0E17969B.pf
25.11.2009 03:01 59.694 UPDATE.EXE-16A5D034.pf
25.11.2009 03:00 56.020 UPDATE.EXE-01C2BDCD.pf
25.11.2009 03:00 45.730 MSIEXEC.EXE-2F8A8CAE.pf
25.11.2009 03:00 54.794 MSXML4-KB973688-ENU.EXE-1070C351.pf
24.11.2009 18:21 20.978 OFFPRV10.EXE-04246BC8.pf
23.11.2009 22:36 67.282 SOFTWAREUPDATE.EXE-1E90DF1F.pf
23.11.2009 22:36 19.038 DLLHOST.EXE-205D880D.pf
23.11.2009 12:23 15.158 DIVXCODECVERSIONCHECKER.EXE-06B73480.pf
23.11.2009 12:21 17.304 DUMPREP.EXE-1B46F901.pf
18.11.2009 20:47 72.474 LUCOMS~1.EXE-02DB5950.pf
18.11.2009 20:47 21.654 MSMSGS.EXE-32066BA5.pf
18.11.2009 19:33 44.908 AUPDATE.EXE-089630E1.pf
18.11.2009 17:27 57.454 NAVW32.EXE-2944DF24.pf
93 Datei(en) 4.798.256 Bytes
0 Verzeichnis(se), 1.704.235.008 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64A8-D28C
Verzeichnis von C:\WINDOWS\tasks
26.11.2009 21:42 1.088 GoogleUpdateTaskMachineUA.job
26.11.2009 11:38 1.084 GoogleUpdateTaskMachineCore.job
26.11.2009 11:37 6 SA.DAT
23.11.2009 22:36 276 AppleSoftwareUpdate.job
5 Datei(en) 2.519 Bytes
0 Verzeichnis(se), 1.704.235.008 Bytes Freitag
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64A8-D28C
Verzeichnis von C:\WINDOWS\Temp
26.11.2009 11:37 16.384 Perflib_Perfdata_d4.dat
26.11.2009 11:37 8.405.015 hlktmp
22.11.2009 18:59 16.384 Perflib_Perfdata_68c.dat
20.11.2009 11:05 16.384 Perflib_Perfdata_690.dat
19.11.2009 11:30 16.384 Perflib_Perfdata_7c0.dat
19.11.2009 11:30 16.384 Perflib_Perfdata_75c.dat
18.11.2009 23:21 16.384 Perflib_Perfdata_78c.dat
18.11.2009 22:52 16.384 Perflib_Perfdata_6c8.dat
8 Datei(en) 8.519.703 Bytes
0 Verzeichnis(se), 1.704.230.912 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64A8-D28C
Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp
26.11.2009 22:31 18 a.wnd.tmp
26.11.2009 22:24 16.384 ~WRF0002.tmp
26.11.2009 22:24 5.498 ~WRS0001.tmp
26.11.2009 22:24 512 ~DFD089.tmp
26.11.2009 22:24 512 ~DFAE01.tmp
26.11.2009 22:24 512 ~DFAAF4.tmp
26.11.2009 22:23 114.688 ~DFB1D.tmp
26.11.2009 20:00 5.838 jusched.log
26.11.2009 19:18 40.960 rtdrvmon.exe
26.11.2009 11:39 16.384 Perflib_Perfdata_e40.dat
26.11.2009 11:39 16.384 Perflib_Perfdata_efc.dat
26.11.2009 11:39 9.437 LVCOMSX.LOG
26.11.2009 11:39 16.384 Perflib_Perfdata_f78.dat
25.11.2009 22:16 32.768 ~DF5517.tmp
25.11.2009 13:31 32.768 ~DF7DC4.tmp
24.11.2009 18:42 32.768 ~DF4692.tmp
23.11.2009 17:13 32.768 ~DF4CE7.tmp
23.11.2009 14:50 5.925 jar_cache8026065279647707326.tmp
23.11.2009 14:49 5.925 jar_cache9071265089214667471.tmp
23.11.2009 14:49 1.081 java_install_reg.log
23.11.2009 09:53 18.734 mod18.tmp
23.11.2009 09:53 420 mod17.tmp
23.11.2009 09:53 34 mod16.tmp
23.11.2009 07:58 32.768 ~DFAA56.tmp
22.11.2009 15:29 32.768 ~DFF036.tmp
20.11.2009 19:44 32.768 ~DFFAB6.tmp
20.11.2009 03:26 169.236 ~WRS0000.tmp
20.11.2009 00:05 32.768 ~DFE49F.tmp
19.11.2009 16:49 69 ~WRD0002.doc
19.11.2009 16:49 16.384 ~WRF0001.tmp
18.11.2009 23:12 11.728 dd_ATL80SP1_KB973923UI2122.txt
18.11.2009 23:12 802.262 dd_ATL80SP1_KB973923MSI2122.txt
18.11.2009 20:54 19.396.228 SymNRT 11-18-2009 20h47m15s.log
18.11.2009 17:28 6.213.584 pvxinst515.exe
15.09.2009 10:42 158.960 SSUPDATE.EXE
09.07.2009 10:30 3.089.408 Ppt0000009.ppt
21.05.2009 18:19 3.089.408 Ppt0000008.ppt
16.05.2009 14:02 3.578.368 Ppt0000007.ppt
16.05.2009 13:11 3.578.368 Ppt0000006.ppt
15.05.2009 13:17 3.578.368 Ppt0000005.ppt
15.05.2009 11:55 3.578.368 Ppt0000004.ppt
15.05.2009 11:53 3.578.368 Ppt0000003.ppt
15.05.2009 11:45 3.578.368 Ppt0000002.ppt
15.05.2009 11:05 3.577.856 Ppt0000001.ppt
15.05.2009 10:59 3.577.856 Ppt0000000.ppt
52 Datei(en) 75.605.442 Bytes
0 Verzeichnis(se), 1.704.230.912 Bytes frei
|
|
27.11.2009, 11:24
| #5 |
| | WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover Logfile-FileList:s.o. Geändert von Gonzo (27.11.2009 um 11:31 Uhr) Grund: Doppelpost, da 1. Eintrag nicht angezeigt... |
|
27.11.2009, 12:55
| #6 | |
| /// Helfer-Team | WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover hi - Rest noch v. Symantec drauf, daher: Norton Antivirus ZU deinstallieren gehe auf der Symantec-Webseite und suche nach den speziellen Deinstallations-Tools, mit denen die letzten Reste (auch) entfernt werden sollten. Norton Removal Tool (für alle Produkte ab 2003 bis 2008) von hier herunterladen - Malwarebytes und SUPERAntiSpyware Free Edition kannst eigentlich schon deinstallieren 1. - den Quarantäne Ordner überall leeren (Funde löschen) - Antivirus bzw Anti-Spy-Programm usw 2. BSPlayer Einen Haken hat die kostenlose Variante des BSPlayers jedoch: Bei der Installation wird das Adware-Modul Whenu Save! installiert, ohne das der BSPlayer nicht ausgeführt werden kann. Dafür gibt es einen deutlichen Punktabzug  3. Code:
ATTFilter eMule
Zitat:
 4. Die alte Java-Versionen verbleiben auf dem PC...aus Sicherheitsgründen müssen entfernt werden,auch in Zukunft darauf achten ) Code:
ATTFilter Java(TM) 6 Update 5
Java(TM) 6 Update 7
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
6. reinige dein System mit Ccleaner:
7. Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben 8. Wie lange dauert die Startvorgang? - Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben - Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen. "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK" it-academy.cc pqtuning.de Laden von Programmen beim Start von Windows Vista verhindern - Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart... - Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` (Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.) - Falls Du mal brauchst, kannst manuell auch starten - Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*): Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter Du solltest nicht deaktivieren :
Grafiktreibers
Firewall
Antivirenprogramm
Sound
Gleich ein paar Vorschläge: Code:
ATTFilter O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE - 08-09 Einträge - alle mit HJT fixen, bis auf: Code:
ATTFilter O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten: Code:
ATTFilter O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: Google Update Service (gupdate1c9f7e577e6ffee) (gupdate1c9f7e577e6ffee) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt. Geändert von kira (27.11.2009 um 13:31 Uhr) |
|
| Themen zu WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover |
| .dll, 1.exe, advanced virus remover, adware.adon, besitzer, datensicherung, detected, disabled.securitycenter, disabletaskmgr, ebayshortcuts.exe, explorer, hijack.displayproperties, infected, internet explorer, launch, malwarebytes' anti-malware, microsoft, refog.keylogger, registrierungsschlüssel, rogue.multiple, scan, software, starten, superantispyware, system, taskleiste, taskmanager, virus, windows, your computer is infected |
Linear-Darstellung
