| |
| |||||||
Log-Analyse und Auswertung: Worm.KoobFace in C:\WindowsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
23.11.2009, 14:43
| #1 |
| |  Worm.KoobFace in C:\Windows Hallo, ich habe hier den PC einer Bekannten vor mir weil AntiVir eine Infizierung mit Worm/KoobFace meldete. Als Betriebssystem lief XP Pro SP2, welches ich nun erstmal auf SP3 upgedatet habe. Ich habe nun CCleaner, Malwarebytes-Anti-Malware und RSIT laufen lassen. Der PC läuft nun fehlerfrei und ohne Meldungen. Kann bitte trotzdem jemand folgende bzw. angehängte Logfiles ansehen ob der PC nun tatsächlich sauber ist!? AntiVir meldete folgende Infizierungen: TR/REG.Koobface.89 in C:\3.reg WORM/Koobface.cci in C:\WINDOWS\rdr_1258667803.exe TR/Dldr.Small.anlx in C:\WINDOWS\rdr_1258667863.exe TR/Dldr.Ag.41472.AA in C:\WINDOWS\ld15.exe TR/Dldr.Ag.41472.AA in C:\System Volume Information\...\A0037346.exe TR/VTool-Obfuscator.HL in C:\WINDOWS\tag14.exe Logfile Malwarebytes: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3198 Windows 5.1.2600 Service Pack 3 20.11.2009 11:42:40 mbam-log-2009-11-20 (11-42-40).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 321417 Laufzeit: 1 hour(s), 50 minute(s), 2 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 15 Infizierte Speicherprozesse: C:\WINDOWS\mstre23.exe (Worm.KoobFace) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysmstray (Worm.KoobFace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\mstre23.exe (Worm.KoobFace) -> Quarantined and deleted successfully. C:\WINDOWS\tag14.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\rdr_1258617268.exe (Worm.KoobFace) -> Quarantined and deleted successfully. C:\WINDOWS\rdr_1258617517.exe (Worm.KoobFace) -> Quarantined and deleted successfully. C:\WINDOWS\rdr_1258656703.exe (Worm.KoobFace) -> Quarantined and deleted successfully. C:\WINDOWS\010112010146116101.xxe (KoobFace.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\0101120101465150.xxe (KoobFace.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\0101120101465249.xxe (KoobFace.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\0101120101465250.xxe (KoobFace.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\0101120101465349.xxe (KoobFace.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\0101120101465355.xxe (KoobFace.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\0101120101465548.xxe (KoobFace.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\0101120101465649.xxe (KoobFace.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\tgm2.dat (KoobFace.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\010112010146101105.rx (Malware.Trace) -> Quarantined and deleted successfully. RIST log.txt und info.txt im Anhang Vielen Dank im voraus! yihaa |
|
24.11.2009, 09:44
| #2 | ||
| /// Helfer-Team    | Worm.KoobFace in C:\Windows Hallo und Herzlich Willkommen!
__________________ Zitat:
 auf jeden Fall: Ändere deine Passworte und Zugangsdaten überall! - am besten von einem anderen, nicht-infizierten Rechner aus! - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Ccleaner starten→ dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
24.11.2009, 18:32
| #3 |
| | Worm.KoobFace in C:\Windows Hallo Coverflow,
__________________vielen Dank, dass du dich meines Problems annimmst! 1. Stimmt, die Neuinstallation wäre bestimmt der sicherste und einfachste Weg. Da meine Bekannte allerdings (noch) keinerlei Backups ihrer Daten hat und einige Matheprogramme installiert hat, möchte ich den PC nicht neu aufsetzen. 2. Passwörter wurden geändert 3. Hier das filelist-log mit den Einträgen ab Juni 09: 4. Folgend die installierten Programme: Code:
ATTFilter Ad-Aware 2007
Adobe Acrobat 8.1.0 Professional
Adobe Color Common Settings
Adobe ExtendScript Toolkit 2
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop CS3
Agere Systems AC'97 Modem
Apple Mobile Device Support
Apple Software Update
ArcSoft PhotoStudio 5.5
ATI - Dienstprogramm zur Deinstallation der Software
Avira AntiVir Personal - Free Antivirus
Broadcom NetXtreme Ethernet Controller
Canon MP Navigator 2.0
Canon MP150
Canon Utilities Easy-PhotoPrint
CCleaner
Content Transfer
Digital Camera Driver
Easy-WebPrint
EVEREST Home Edition v2.20
FileZilla Client 3.2.0
HijackThis 2.0.2
HP BIOS Configuration for ProtectTools 1.00 C1
HP Customer Participation Program 7.0
HP Imaging Device Functions 7.0
HP Integrated Module with Bluetooth wireless technology
HP OrderReminder
HP Photosmart Essential
HP Photosmart, Officejet and Deskjet 7.0.A
HP ProtectTools Security Manager 1.00 C3
HP Software Update
HP Solution Center 7.0
HP Wireless Assistant
Intel(R) PROSet/Wireless Software
iTunes
J2SE Runtime Environment 5.0
LaserJet 1018
Malwarebytes' Anti-Malware
Maple 11
MATLAB R2007a
Media Manager for WALKMAN 1.2
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office Enterprise 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
MiKTeX 2.6
Mozilla Firefox (3.0.15)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Nero 7 Ultra Edition
OCR Software by I.R.I.S 7.0
OmniPage SE
PHP 5.2.9-2
POV-Ray for Windows v3.6.1c
PowerDVD
Quick Launch Buttons 5.10 B5
QuickTime
R for Windows 2.7.0
Roxio PhotoSuite 5
Skype™ 3.5
SoulSeek Client 156c
SoundMAX
SpeedTouch USB Software
Synaptics Pointing Device Driver
Texas Instruments PCIxx21/x515 drivers.
TeXnicCenter Version 1 Beta 7.01 (Greengrass)
tsWebEditor 20060920
Winamp (remove only)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR archiver
Code:
ATTFilter GMER 1.0.15.15252 - http://www.gmer.net
Rootkit scan 2009-11-24 14:26:42
Windows 5.1.2600 Service Pack 3
Running: 270qpmpm.exe; Driver: C:\DOKUME~1\Lena\LOKALE~1\Temp\uwlcapob.sys
---- System - GMER 1.0.15 ----
SSDT F7C97966 ZwCreateKey
SSDT F7C9795C ZwCreateThread
SSDT F7C9796B ZwDeleteKey
SSDT F7C97975 ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF73F6FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF73F7340]
SSDT F7C9797A ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF73F10B0]
SSDT F7C97948 ZwOpenProcess
SSDT F7C9794D ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF73F7418]
SSDT sptd.sys ZwQueryValueKey [0xF73F7298]
SSDT F7C97984 ZwReplaceKey
SSDT F7C9797F ZwRestoreKey
SSDT F7C97970 ZwSetValueKey
SSDT F7C97957 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F691F8AC 5 Bytes JMP 86D1A770
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF66E83BF]
init C:\WINDOWS\system32\DRIVERS\gtipci21.sys entry point in "init" section [0xF66ACA80]
? System32\Drivers\a6bbo7z2.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73F1AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73F1C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73F1B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73F2748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73F261E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F740729A] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 86FD01E8
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)
Device \Driver\usbuhci \Device\USBPDO-0 86D371E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86F651E8
Device \Driver\dmio \Device\DmControl\DmConfig 86F651E8
Device \Driver\dmio \Device\DmControl\DmPnP 86F651E8
Device \Driver\dmio \Device\DmControl\DmInfo 86F651E8
Device \Driver\usbuhci \Device\USBPDO-1 86D371E8
Device \Driver\usbuhci \Device\USBPDO-2 86D371E8
Device \Driver\usbehci \Device\USBPDO-3 86CF11E8
Device \Driver\PCI_NTPNP6868 \Device\00000056 sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD21E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD21E8
Device \Driver\Cdrom \Device\CdRom0 86CAF1E8
Device \Driver\Cdrom \Device\CdRom1 86CAF1E8
Device \Driver\atapi \Device\Ide\IdePort0 [F7326B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F7326B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F7326B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBT_Tcpip_{6CE05725-A617-43BC-8C3B-1DCC1AC01E53} 86BCB650
Device \Driver\NetBT \Device\NetBt_Wins_Export 86BCB650
Device \Driver\NetBT \Device\NetbiosSmb 86BCB650
Device \Driver\usbuhci \Device\USBFDO-0 86D371E8
Device \Driver\usbuhci \Device\USBFDO-1 86D371E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86DDE520
Device \Driver\usbuhci \Device\USBFDO-2 86D371E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86DDE520
Device \Driver\usbehci \Device\USBFDO-3 86CF11E8
Device \Driver\Ftdisk \Device\FtControl 86FD21E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{5C456280-D051-4925-9A93-137B07C69F40} 86BCB650
Device \Driver\a6bbo7z2 \Device\Scsi\a6bbo7z21Port1Path0Target0Lun0 86D721E8
Device \Driver\a6bbo7z2 \Device\Scsi\a6bbo7z21 86D721E8
Device \FileSystem\Cdfs \Cdfs 86A2C5F8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x71 0x02 0x70 0x5E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x4B 0xFE 0x0F 0x0B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x67 0xD9 0x49 0x3F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x71 0x02 0x70 0x5E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x4B 0xFE 0x0F 0x0B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x67 0xD9 0x49 0x3F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x71 0x02 0x70 0x5E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x4B 0xFE 0x0F 0x0B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x67 0xD9 0x49 0x3F ...
---- EOF - GMER 1.0.15 ----
Gruß yihaa |
|
25.11.2009, 14:20
| #4 |
| /// Helfer-Team | Worm.KoobFace in C:\Windows hi 1. Bevor wir beginnen: Da jederzeit etwas passieren kann, wenn du wichtige Daten hast die Du sichern möchtest, empfehle ich Dir es jetzt machen (wie Bilder, Musik usw) Unabhängig von einem Befall (weil ja kann eine Festplatte auch kaputt gehen, oder es gibt andere technische Probleme ), sollte man regelmäßig Sicherung machen und an einem sicheren Ort bewahren, wie CD und DVD, aber besser auf externe Festplatten oder/und USB-Sticks Mache das jetzt bitte! 2.
3. Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben |
|
25.11.2009, 21:02
| #5 |
| | Worm.KoobFace in C:\Windows Hallo, 1. Eine externe FP wurde schon gekauft und bin dabei die Daten zu sichern. 2. Hier das Log von SUPERAntiSpyware: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 11/25/2009 at 04:24 PM
Application Version : 4.31.1000
Core Rules Database Version : 4310
Trace Rules Database Version: 2175
Scan type : Complete Scan
Total Scan Time : 00:45:11
Memory items scanned : 677
Memory threats detected : 0
Registry items scanned : 7075
Registry threats detected : 0
File items scanned : 24783
File threats detected : 1
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Lena\Cookies\lena@doubleclick[2].txt
Code:
ATTFilter --------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Wednesday, November 25, 2009
Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Wednesday, November 25, 2009 15:23:58
Records in database: 3289631
--------------------------------------------------------------------------------
Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes
Scan area - My Computer:
C:\
D:\
E:\
G:\
Scan statistics:
Objects scanned: 197907
Threats found: 0
Infected objects found: 0
Suspicious objects found: 0
Scan duration: 03:11:48
No threats found. Scanned area is clean.
Selected area has been scanned.
Gruß yihaa |
|
26.11.2009, 09:50
| #6 |
| /// Helfer-Team | Worm.KoobFace in C:\Windows hi 1. ** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren") 2. Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf: Code:
ATTFilter HijackThis/Trend Micro
filelist
CCleaner
3. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
4. reinige dein System mit Ccleaner:
5. Zum Schluss, scanne dein Sytem mit mindestens 3 Onlinescanner (Externe Sachen bitte anschliessen) : - Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen - Active X erlauben - Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf - speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern Code:
ATTFilter bitdefender emsisoft ESET Online Scanner f-secure Geändert von kira (26.11.2009 um 10:00 Uhr) |
|
03.12.2009, 16:06
| #7 |
| | Worm.KoobFace in C:\Windows Hallo Coverflow, habe deine Punkte nun abgearbeitet und auch drei Online-Scanner laufen lassen. Hier die Logfiles: bitdefender: Code:
ATTFilter *BitDefender Online Scanner*
*Bericht erstellt am: Wed, Dec 02, 2009 - 14:13:23*
* *
*Zu prüfender Pfad: *C:\;D:\;
* *
*Statistik*
Zeit
00:43:58
Dateien
139232
Ordner
18043
Boot-Sektoren
0
Archive
1794
Komprimierte Dateien
18055
*Ergebnisse*
Erkannte Viren
0
Infizierte Dateien
0
verdächtige Dateien
0
Warnungen
0
Desinfiziert
0
Gelöscht
0
*Engine-Info*
Virensignaturen
4675547
Engine info
AVCORE v2.1 Windows/i386 11.0.0.26 (Oct 20 2009)
Prüf-Plugins
17
Archiv-Plugins
44
Extraktions-Plugins
8
E-Mail-Plugins
6
System-Plugins
4
*Prüfeinstellungen*
Primäre Aktion
Desinfizieren
Sekundäre Aktion
Lschen
Heuristik
Ja
Warnungen aktivieren
Ja
Zu prüfende Erweiterungen
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Auszuschließende Erweiterungen
E-Mails prüfen
Ja
Archive prüfen
Ja
Komprimierte Dateien prüfen
Ja
Dateien prüfen
Ja
Boot-Sektoren prüfen
Ja
*Geprüfte Dateien*
* Status*
Keine Viren gefunden
* *
* *
F-Secure: Code:
ATTFilter Scanning Report
Thursday, December 3, 2009 14:52:50 - 15:52:49
Computer name: MAGDALENA
Scanning type: Scan system for malware, spyware and rootkits
Target: C:\ D:\
------------------------------------------------------------------------
1 malware found
TrackingCookie.Doubleclick
<http://cgi.f-secure.com/cgi-bin/websearch/vsearch.cgi?q=TrackingCookie.Doubleclick&orig='disk'>
(spyware)
* System (Disinfected)
------------------------------------------------------------------------
Statistics
Scanned:
* Files: 74617
* System: 3832
* Not scanned: 7
Actions:
* Disinfected: 1
* Renamed: 0
* Deleted: 0
* Not cleaned: 0
* Submitted: 0
Files not scanned:
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\SYSTEM VOLUME INFORMATION\MOUNTPOINTMANAGERREMOTEDATABASE
------------------------------------------------------------------------
Options
Scanning engines:
Scanning options:
* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT
VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM
ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK
WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML
PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT
MIF PHP POT SWF WMF NWS TAR
* Use advanced heuristics
------------------------------------------------------------------------
Copyright © 1998-2009 Product support
<http://support.f-secure.com/> | Send virus sample to
F-Secure
<http://support.f-secure.com//enu/home/virusproblem/sample/>
F-Secure assumes no responsibility for material
created or published by third parties that F-Secure
World Wide Web pages have a link to. Unless you have
clearly stated otherwise, by submitting material to
any of our servers, for example by E-mail or via our
F-Secure's CGI E-mail, you agree that the material you
make available may be published in the F-Secure World
Wide Pages or hard-copy publications. You will reach
F-Secure public web site by clicking on underlined
links. While doing this, your access will be logged to
our private access statistics with your domain name.
This information will not be given to any third party.
You agree not to take action against us in relation to
material that you submit. Unless you have clearly
stated otherwise, by submitting material you warrant
that F-Secure may incorporate any concepts described
in it in the F-Secure products/publications without
liability.
Vielen Dank für deine Hilfe! Gruß yihaa |
|
04.12.2009, 07:17
| #8 | |
| /// Helfer-Team | Worm.KoobFace in C:\Windows hi Alte Java-Versionen entfernen: - Lade Dir JavaRa von prm753 herunter - auf dem Desktop entpacken - die JavaRa.exe per Doppelklick starten - wähle "Remove Older Versions" und klicke auf "Yes - wird ein Log erstellt, kannst Du speichern (posten nicht nötig) - Installiere dann die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url] - Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf: Code:
ATTFilter HijackThis/Trend Micro
CCleaner
Empfehlungen/Vorschläge: 1. Wie lange dauert die Startvorgang? - Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben - Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen. "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK" it-academy.cc pqtuning.de Laden von Programmen beim Start von Windows Vista verhindern - Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart... - Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` (Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.) - Falls Du mal brauchst, kannst manuell auch starten - Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*): Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter Du solltest nicht deaktivieren :
Grafiktreibers
Firewall
Antivirenprogramm
Sound
Gleich ein paar Vorschläge: Code:
ATTFilter O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter 08-09-18 Einträge - alle
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten: Code:
ATTFilter O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt. - auf keinen Fall Grafiktreibers, Firewall und Anti-Viren-Programmen abschalten!! Lesestoff:
Zitat:
Geändert von kira (04.12.2009 um 07:52 Uhr) |
|
| Themen zu Worm.KoobFace in C:\Windows |
| anhang, antivir, backdoor.bot, betriebssystem, c:\system volume information\..., c:\windows, ccleaner, dateien, folge, folgende, information, logfiles, malware.trace, melde, microsoft, minute, pc läuft, process, registrierungsschlüssel, rsit, service, software, sp2, sp3, system volume information, trojan.agent, version, volume, windows, worm.koobface |
Linear-Darstellung
