renos.jm Trojaner

Left-Eye · 21.01.2010, 16:26

Ja hallo erstmal...
ich weiß nicht, ob Sie es wußten, aber ich habe ein Trojaner-Problem

Ich habe über Google diese Seite gefunden und diverse andere Posts zu diesem Thema durchgekämpft. Ich habe sämtliche empfohlene Programme runtergeladen, installiert und durchgeführt. Jetzt wollte ich die Ergebnisse preisgeben und hoffe auch auf Hilfe.

Den Rechner neu zu installieren wäre sicherlich effektiv aber eine lange Sache. Deshalb ziehe ich eine Säuberung vor.

Hier der Link für die Log-Dateien:

h**p://www.file-upload.net/download-2181789/Logs.rar.html

Mein BS ist Vista Home Premium mit SP2. Als Anti-Virus ist AntiVir drauf. Ich habe mit CCleaner alles gesäubert und keine Einträge mehr gehabt, bis auf die eine von AntiVir, die als ok von euch gewertet wurde.

Falls unter dem ganzen Wirr Warr etwas fehlen sollte bitte ich um Entschuldigung.

Danke für die Unterstützung!

cosinus · 22.01.2010, 09:21

Hallo und

Du hast den kompletten Pfad vergessen zu posten, wo der renos angeblich gefunden wurde.

Bitte mal den Avenger anwenden

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\Windows\msa.exe

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Left-Eye · 22.01.2010, 13:07

Erstmal ein dickes Dankeschön für die Hilfe.
Logfile:
Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job" not found!
Deletion of file "C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Windows\msa.exe" not found!
Deletion of file "C:\Windows\msa.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

Dazu muß ich sagen, daß ich bei Malwarebytes 4 Meldungen über Trojaner hatte. Ich habe auf entfernen gedrückt. Seit dem kommt keine Meldung über renos und es werden keine Seiten automatisch von IE geöffnet. Zumal ich eigentlich Firefox verwende.
Kann ich jetzt davon ausgehen, dass die Sache geregelt ist?

cosinus · 22.01.2010, 13:10

Mach nochmal ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Left-Eye · 22.01.2010, 13:47

ComboFix 10-01-21.07 - Left-Eye 22.01.2010 13:38:07.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3068.2000 [GMT 1:00]
ausgeführt von:: c:\users\Left-Eye\Desktop\cofi.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2475316071-2226409995-3264935641-500
c:\program files\temp
c:\users\Left-Eye\AppData\Roaming\Desktopicon
c:\users\Left-Eye\AppData\Roaming\Desktopicon\eBay.ico
c:\users\Left-Eye\AppData\Roaming\Desktopicon\uninst.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-22 bis 2010-01-22 ))))))))))))))))))))))))))))))
.

2010-01-22 12:42 . 2010-01-22 12:42 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-21 15:02 . 2010-01-21 15:02 -------- d-----w- C:\rsit
2010-01-21 14:10 . 2010-01-21 14:10 -------- d-----w- c:\users\Left-Eye\AppData\Roaming\Malwarebytes
2010-01-21 14:10 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-21 14:10 . 2010-01-21 14:10 -------- d-----w- c:\programdata\Malwarebytes
2010-01-21 14:10 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-18 12:43 . 2010-01-18 12:43 -------- d-----w- c:\windows\Sun
2010-01-13 11:51 . 2010-01-13 11:51 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2010-01-13 11:51 . 2008-04-07 04:38 22872 ----a-r- c:\windows\system32\AdobePDFUI.dll
2010-01-13 11:51 . 2008-04-07 04:38 45392 ----a-r- c:\windows\system32\AdobePDF.dll
2010-01-13 11:49 . 2010-01-13 11:49 -------- d-----w- c:\program files\EzManual
2010-01-13 11:14 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32\t2embed.dll
2010-01-13 11:14 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll
2010-01-11 13:05 . 2010-01-11 13:05 -------- d-----w- c:\users\Left-Eye\AppData\Local\Hattrick Manager
2010-01-04 20:52 . 2010-01-04 23:02 -------- d-----w- c:\users\Left-Eye\AppData\Roaming\skypePM
2010-01-04 20:42 . 2010-01-05 00:23 -------- d-----w- c:\users\Left-Eye\AppData\Roaming\Skype
2010-01-04 20:42 . 2010-01-04 20:42 -------- d-----w- c:\program files\Common Files\Skype
2010-01-04 20:42 . 2010-01-04 20:42 -------- d-----w- c:\programdata\Skype
2010-01-04 12:46 . 2010-01-04 12:47 -------- d-----w- c:\users\Left-Eye\AppData\Roaming\Auslogics

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-22 12:08 . 2008-06-17 03:51 731900 ----a-w- c:\windows\system32\perfh007.dat
2010-01-22 12:08 . 2008-06-17 03:51 164968 ----a-w- c:\windows\system32\perfc007.dat
2010-01-22 12:01 . 2009-10-21 21:58 12 ----a-w- c:\windows\bthservsdp.dat
2010-01-22 11:27 . 2009-10-21 14:31 32156 ----a-w- c:\programdata\nvModes.dat
2010-01-21 10:59 . 2009-10-21 16:56 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-15 18:16 . 2009-10-27 23:37 -------- d-----w- c:\users\Left-Eye\AppData\Roaming\vlc
2010-01-14 10:12 . 2009-10-21 15:44 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-13 12:12 . 2009-10-21 13:08 60728 ----a-w- c:\users\Left-Eye\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-13 11:51 . 2009-10-25 11:12 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-13 11:42 . 2009-10-21 13:26 -------- d-----w- c:\program files\lg_swupdate
2010-01-13 11:16 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-01-10 17:35 . 2009-10-25 11:34 -------- d-----w- c:\programdata\FLEXnet
2010-01-04 20:52 . 2010-01-04 20:52 56 ---ha-w- c:\programdata\ezsidmv.dat
2009-12-20 09:53 . 2009-12-20 09:53 234016 ----a-w- c:\windows\system32\drivers\Rtlh86.sys
2009-12-16 12:39 . 2009-12-15 15:54 1650944 ----a-w- c:\programdata\Microsoft\VisualStudio\9.0\1033\ResourceCache.dll
2009-12-16 12:39 . 2009-12-10 15:03 -------- d-----w- c:\programdata\Microsoft Help
2009-12-16 12:35 . 2009-12-15 15:54 18368 ----a-w- c:\programdata\Microsoft\VSA\9.0\1033\ResourceCache.dll
2009-12-16 12:33 . 2009-12-10 15:18 -------- d-----w- c:\program files\Common Files\Merge Modules
2009-12-15 19:31 . 2009-12-15 15:57 -------- d-----w- c:\program files\Windows Mobile 5.0 SDK R2
2009-12-15 15:56 . 2009-12-15 15:56 -------- d-----w- c:\program files\Microsoft Synchronization Services
2009-12-15 15:56 . 2009-12-15 15:56 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2009-12-15 15:55 . 2009-12-10 15:02 -------- d-----w- c:\program files\Microsoft.NET
2009-12-15 15:50 . 2009-12-15 15:50 -------- d-----w- c:\programdata\PreEmptive Solutions
2009-12-15 15:48 . 2009-12-15 15:45 -------- d-----w- c:\program files\HTML Help Workshop
2009-12-15 15:48 . 2006-11-02 12:37 -------- d-----w- c:\program files\MSBuild
2009-12-15 15:45 . 2009-12-15 15:45 -------- d-----w- c:\program files\Microsoft SDKs
2009-12-15 15:45 . 2009-12-15 15:45 -------- d-----w- c:\program files\CE Remote Tools
2009-12-14 14:03 . 2009-12-10 14:59 -------- d-----w- c:\program files\Microsoft SQL Server
2009-12-13 12:52 . 2009-12-10 15:18 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2009-12-10 23:06 . 2009-12-10 17:10 -------- d-----w- c:\users\Left-Eye\AppData\Roaming\uTorrent
2009-12-10 17:12 . 2009-12-10 17:12 -------- d-----w- c:\program files\uTorrent
2009-12-10 16:30 . 2009-12-10 16:30 -------- d-----w- c:\program files\Microsoft Web Designer Tools
2009-12-10 16:28 . 2009-12-10 16:28 416 ----a-w- c:\programdata\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2009-12-10 15:05 . 2009-12-10 15:05 -------- d-----w- c:\program files\SQLXML 4.0
2009-12-10 15:02 . 2009-12-10 15:02 -------- d-----w- c:\program files\Microsoft Analysis Services
2009-12-10 14:56 . 2009-10-21 13:16 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-10 14:55 . 2009-12-10 14:55 -------- d-----w- c:\users\Left-Eye\AppData\Roaming\InstallShield
2009-12-10 14:34 . 2009-12-10 14:34 -------- d-----w- c:\program files\QS
2009-12-10 14:34 . 2009-12-10 14:34 -------- d-----w- c:\users\Left-Eye\AppData\Roaming\TeamViewer
2009-12-08 13:07 . 2009-10-21 16:35 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-03 08:27 . 2009-12-03 08:27 80416 ----a-w- c:\windows\system32\RtNicProp32.dll
2009-12-03 08:27 . 2009-11-12 06:24 100896 ----a-w- c:\windows\system32\RTNUninst32.dll
2009-11-21 06:40 . 2009-12-10 16:09 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-10 16:09 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-10 16:09 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-10 16:09 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-11-09 12:31 . 2009-12-10 16:12 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 12:30 . 2009-12-10 16:12 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-10 16:12 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-29 12:26 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-10-29 09:17 . 2009-11-25 11:40 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-24 12:59 . 2009-10-24 12:59 471664 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbCCB3.tmp.exe
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\NBHShellExt]
@="{8D2223A2-B3C6-4e32-B096-CDD11F628C60}"
[HKEY_CLASSES_ROOT\CLSID\{8D2223A2-B3C6-4e32-B096-CDD11F628C60}]
2008-02-28 11:04 97064 ----a-w- d:\program files\Nero\Nero8\InCD\NBHShx.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-21 39408]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"LG Intelligent Update"="c:\program files\lg_swupdate\giljabistart.exe" [2009-10-21 304432]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-11-25 6691360]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-10 13605408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-10 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SecurDisc"="d:\program files\Nero\Nero8\InCD\NBHGui.exe" [2008-02-28 2049320]
"InCD"="d:\program files\Nero\Nero8\InCD\InCD.exe" [2008-02-28 1083176]
"NBKeyScan"="d:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"VC9Player"="d:\program files\Virtual CD v9\System\VC9Play.exe" [2007-09-20 202000]
"Adobe Acrobat Speed Launcher"="d:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="d:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-10-2 727592]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\acaptuser32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):2b,02,0c,4a,19,53,ca,01

R1 vdrv9000;vdrv9000;c:\windows\System32\drivers\vdrv9000.sys [10.12.2009 15:57 106496]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [21.10.2009 17:35 108289]
R2 MsDtsServer;SQL Server Integration Services;c:\program files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe [27.05.2009 03:26 202584]
R2 NeroRegInCDSrv;Nero Registry InCD Service;d:\program files\Nero\Nero8\InCD\NBHRegInCDSrv.exe [28.02.2008 12:04 53032]
R2 VC9SecS;Virtual CD v9 Management Service;d:\program files\Virtual CD v9\System\vc9secs.exe [10.12.2009 15:57 132416]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [17.11.2008 06:40 3668480]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\System32\drivers\nvhda32v.sys [25.09.2008 04:39 45600]
S3 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21.01.2008 03:23 21504]
S3 HH9Help.sys;HH9Help.sys;c:\windows\System32\drivers\HH9Help.sys [10.12.2009 15:57 11392]
S3 WSVD;WSVD;c:\windows\System32\drivers\WSVD.sys [21.10.2009 14:16 81192]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [22.02.2007 18:39 2808664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-01-21 c:\windows\Tasks\User_Feed_Synchronization-{D8C51FA9-8EFA-49A8-88BB-1FD64A4DC065}.job
- c:\windows\system32\msfeedssync.exe [2009-12-10 04:59]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = local
IE: An vorhandenes PDF anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
FF - ProfilePath - c:\users\Left-Eye\AppData\Roaming\Mozilla\Firefox\Profiles\w2yzm4ur.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\users\Left-Eye\AppData\Roaming\Mozilla\Firefox\Profiles\w2yzm4ur.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: d:\program files\Adobe\Acrobat 9.0\Acrobat\browser\nppdf32.dll
FF - plugin: d:\program files\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\program files\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\program files\VideoLAN\VLC\npvlc.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Agere Systems Soft Modem - c:\windows\agrsmdel
AddRemove-eBay Icon - c:\users\Left-Eye\AppData\Roaming\Desktopicon\uninst.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-22 13:42
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msftesql]
"ImagePath"="\"c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe\" -s:MSSQL.1 -f:MSSQLSERVER"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2475316071-2226409995-3264935641-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:9b,f4,51,30,da,6d,f2,62,7b,ea,ce,35,cc,f3,37,11,8a,87,5a,c8,67,32,a2,
44,de,84,eb,30,ff,f0,f3,c7,8b,5e,aa,22,03,20,25,e1,f4,2c,17,e2,57,4c,2b,a3,\
"??"=hex:ed,31,7f,b4,68,47,ea,b1,f9,3a,58,ce,af,31,69,f8

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-01-22 13:45:08
ComboFix-quarantined-files.txt 2010-01-22 12:45

Vor Suchlauf: 10 Verzeichnis(se), 23.565.045.760 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 23.399.923.712 Bytes frei

- - End Of File - - 25532A9810DEECFC0E51874E9E824DB2

cosinus · 24.01.2010, 19:28

Sieht okay aus. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

Left-Eye · 26.01.2010, 20:25

Hier nochmal der REPORT. Jetzt findet der wieder 2 infizierte Dateien, wobei eins davon meine Unfallbilder von meinem Auto sind, die ich selber geschossen habe.
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3641
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

26.01.2010 20:18:16
mbam-log-2010-01-26 (20-18-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 268835
Laufzeit: 47 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Left-Eye\Pictures\Fotos2\Pictures.exe (Spyware.OnlineGames) -> No action taken.
C:\Users\Left-Eye\Pictures\Fotos2\Unfallbilder K-** 2**3.exe (Spyware.OnlineGames) -> No action taken.

cosinus · 26.01.2010, 20:51

Zitat:

wobei eins davon meine Unfallbilder von meinem Auto sind, die ich selber geschossen habe.

Unfallbilder? Bilder als ausführbare EXE?

Zitat:

Infizierte Dateien:
C:\Users\Left-Eye\Pictures\Fotos2\Pictures.exe (Spyware.OnlineGames) -> No action taken.
C:\Users\Left-Eye\Pictures\Fotos2\Unfallbilder K-** 2**3.exe (Spyware.OnlineGames) -> No action taken.

Left-Eye · 26.01.2010, 22:12

Die Fotos sind zu einem selbstextrahieren Rar-archiv gepackt worden. Aber ich merke grad, dass ich unter dem winexplorer auf ein paar ordner nicht zugreifen kann. Da steht zugriff verweigert. wie bei einer Verknüpfung ist ein Pfeil auf dem Ordnerzeichen. Bei denen, wo ein Pfeil drauf ist, wird mir der Zugriff verweigert. Was soll ich mit dem archiv machen oder besser gefragt überhaupt machen? Was mache ich mit dem Fund von Malware?

Sind beide selbstextrahierende Archive. Kann man die Befunde damit erklären? Warum sind auf einmal diese Pfeile aufgetaucht? Oh mann ich könnte jetzt vor Frust in die Luft gehen.

cosinus · 26.01.2010, 22:59

Zitat:

Aber ich merke grad, dass ich unter dem winexplorer auf ein paar ordner nicht zugreifen kann.

Ist bei Vista normal

Da sind ein paar Spezialordner, wo Du standardmäßig nicht rein darfst, die werden standardmäßig aber auch nicht angezeigt.

Mit was hast Du die Bilder gepackt?

Bilder packen macht keinen Sinn, wenn die schon im jpg oder png oder was auch immer Format sind, das schon Kompression verwenden, kann man die ganz schlecht mit RAR oder ZIP packen. Du kannst auch MP3s ganz schlecht zippen

Left-Eye · 26.01.2010, 23:26

Ich habe es mit WinRar archiviert. habs damals nur gepackt damit ich nur eine Datei hochladen muß für die Versicherung. Ich habe alle Ordner gelöscht. ich glaube, dass es nicht weiter schlimm ist, weil das verknüpfungen waren. Oder irre ich ich da? ich hoffe nicht :-)

cosinus · 27.01.2010, 09:57

Nee, Verknüpfungen waren das nicht, aber wenn Du die Dateien selbst erstellt hast, geht von denen auch keine Gefahr aus.

Left-Eye · 27.01.2010, 10:46

Was mache ich wegen den gelöschten Ordnern? Wirkt sich das jetzt negativ auf mein OS aus?

cosinus · 27.01.2010, 11:41

Welche gelöschte Ordner meinst Du denn da?

Left-Eye · 27.01.2010, 16:07

Die vorher versteckten Ordner, die unter meinem Benutzername (eigene Dateien usw.) standen, habe ich gelöscht.

24.01.2010, 19:28	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	renos.jm Trojaner Sieht okay aus. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. __________________ --> renos.jm Trojaner

27.01.2010, 09:57	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	renos.jm Trojaner Nee, Verknüpfungen waren das nicht, aber wenn Du die Dateien selbst erstellt hast, geht von denen auch keine Gefahr aus. __________________ Logfiles bitte immer in CODE-Tags posten

27.01.2010, 11:41	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	renos.jm Trojaner Welche gelöschte Ordner meinst Du denn da? __________________ Logfiles bitte immer in CODE-Tags posten

renos.jm Trojaner

Log-Analyse und Auswertung: renos.jm Trojaner