Hallo liebe Trojaner,
Wie schon im Titel erwähnt fand
Malwarebytes den Trojan.Downloader in der datei
Zitat:
|
C:\Users\******\AppData\Roaming\Mozilla\Firefox\Profiles\l1v792nu.default\downloads.sqlite
|
Die Google suche brachte einen treffer.
Zitat. "ab Firefox 3.0
Ab dieser Version gibt es die Datei downloads.rdf nicht mehr. An ihrer Stelle ist die Datei downloads.sqlite getreten. Bei einem Problem mit dem Download-Manager empfiehlt es sich, die Datei downloads.sqlite im Profilordner umzubenennen in z.B. downloads.sqlite.old. Das Ganze während Firefox geschlossen ist. Beim nächsten Start von Firefox wird die Datei downloads.sqlite neu angelegt. "
Wenn man diesem Beitrag glauben schenkt so denke ich an einem Fehlalarm...
Zu mal ich gestern Abend eine Vollsuche mit Kaspersky und
Malwarebytes durchführte, ohne jedliche vorkommnisse.
Den
Malwarebytes Vollscann brach ich heute morgen ab da er mir ein Infiziertes Objekt anzeigte und ich wissen wollte um was es sich handelt...
Hier der Logfile vom Unterbrochnen Scann:
Zitat:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3700
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
07.02.2010 11:20:10
mbam-log-2010-02-07 (11-20-10).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 32360
Laufzeit: 1 minute(s), 38 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Users\******\AppData\Roaming\Mozilla\Firefox\Profiles\l1v792nu.default\downloads.sqlite (Trojan.Downloader) -> Not selected for removal.
|
Natürlich bin ich gerade dabei den Scann zu wiederholen... Biseher ohne Fund.
Die Datei "downloads.sqlite" wollte ich bei Virustotal hochlanden, doch ich fand sie nicht. Weder manuell noch über die Windowssuche, trotz Sichtbar gemachter Ordner.
Wie ich auf die Spur bekommen bin das ich Infieziert sei ist folgender Grund.
Ich versuchte diese Hp
zu Öffnen doch es kam eine Meldung das keine Verbindung zur Website hergestellt werden konnte, auch über die Google suche und über direkts eingeben in der Browser suchleiste lies die Hp sich nicht öffnen. Was anderes habe ich heute morgen nicht mehr gemacht...
Der Pc weißt ansonsten keine weiteren merkmale auf.
Nun über das System. ich benutze ausschlieslich den Mozilla Firefox 3.6 mit den Addons Flashgot (ebend gerade deinstaliert, da nie verwendet), Adblock Plus, WOT und zu guter letzt NoScript.
Das Betriebsystem Win7 wird stehts mit updates Versorgt. Kaspersky is 2010 scannt Regelmäßig.
Was sagt ihr? Handelt es sich um einen Fehlalarm? Soll ich neu aufsetzen? Oder kann ich mir sicher sein das das System Sauber ist?
Nun alle Logfile.
Malwarebyte:
Zitat:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3700
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
07.02.2010 12:06:49
mbam-log-2010-02-07 (12-06-49).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 345480
Laufzeit: 36 minute(s), 10 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
Hijackthis:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:24, on 07.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
E:\Programme\Office Enterprise 2007\Office12\GrooveMonitor.exe
E:\Programme\Kaspersky Internet Security 2010\avp.exe
D:\Programme\VMware\vmware-tray.exe
E:\Programme\Itunes\iTunesHelper.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDCountdown.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDRSS.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDPop3.exe
C:\Program Files\Logitech\GamePanel Software\Applets\ColorOnly\LCDMovieViewer.exe
C:\Program Files\Logitech\GamePanel Software\Applets\ColorOnly\LCDPictureViewer.exe
C:\Program Files\Logitech\GamePanel Software\Applets\ColorOnly\LCDYT.exe
E:\Programme\Widgets\YahooWidgets.exe
E:\Programme\Widgets\YahooWidgets.exe
E:\Programme\Widgets\YahooWidgets.exe
E:\Programme\Widgets\YahooWidgets.exe
E:\Programme\Widgets\YahooWidgets.exe
E:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Users\******\Downloads\p4od8vl7.exe
E:\Programme\Firefox\firefox.exe
E:\Programme\Kaspersky Internet Security 2010\klwtblfs.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\NOTEPAD.EXE
E:\Programme\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\System32\dvmurl.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:\Programme\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\Programme\Office Enterprise 2007\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - E:\Programme\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [Launch LgDeviceAgent] "C:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Programme\Office Enterprise 2007\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [vmware-tray] D:\Programme\VMware\vmware-tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\Itunes\iTunesHelper.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\Programme\Office Enterprise 2007\Office12\ONENOTEM.EXE
O4 - Startup: Yahoo! Widgets.lnk = E:\Programme\Widgets\YahooWidgets.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - E:\Programme\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\OFFICE~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - E:\Programme\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\OFFICE~1\Office12\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - E:\Programme\Kaspersky Internet Security 2010\klwtbbho.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\Programme\Office Enterprise 2007\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~1\mzvkbd3.dll,E:\PROGRA~1\KASPER~1\kloehk.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - E:\Programme\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Net Burner iSCSI Service (NetBurnerService) - Paragon GmbH - E:\Programme\Paragon Drive backup\Net Burner Service\NetBurnerService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - E:\Programme\O&O Defrag Pro\oodag.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
--
End of file - 8001 bytes
|
Gmer wird nachgereicht. Soll
SUPERAntiSpyware auch ausgeführt werden?
Ccleaner wurde ausgeführet so wie in der Anleitung beschrieben ohne Ergebnisse (bereinige jedes mal vorm auschalten des Pc´s das system damit).
Ich bedanke mich für eure Hilfe im Vorraus. Falls ihr weiter Infos benötigt lass ich sie auch zukommen.
Gruß Unnamed
07.02.2010, 12:14
Linear-Darstellung
