| |
| |||||||
Log-Analyse und Auswertung: Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.-Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
02.12.2010, 21:03
| #32 |
| Gast |  Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- oh gott so langsam schwindet meine zuversicht ^^ hier das naechste prob ich lad nen screenshot hoch
__________________ |
|
02.12.2010, 21:07
| #33 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- achja habs auch als admin ausfuehren lassen!!
__________________ |
|
02.12.2010, 21:28
| #34 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Hast du an den IE-Settings geschraubt? Diese Meldung ist mir bei CF neu. Stell mal bitte alles im IE in den Internetoptionen auf Standard zurück, alternativ mal auf den Link in der Meldung anklicken und den Anweisungen folgen. ("Warum können die Dateien nicht geöffnet werden?")
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
02.12.2010, 22:19
| #35 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- oje oje klappt alles nicht ich kopier dir mal nen auszug aus dem text der erscheint wenn ich auf "warum koennen .." Warum kann ich keine Dateien aus dem Internet öffnen oder kopieren? Dies ist vermutlich darauf zurückzuführen, dass die Website, von der die Datei stammt, von Windows als potenziell gefährlich eingestuft wird. Von Windows wird anhand von Sicherheitszonen bestimmt, ob eine Website vertrauenswürdig ist. Weitere Informationen zu Vertrauenswürdigkeit und Internet finden Sie unter Wann kann ich einer Website vertrauen. Von Windows werden alle Websites einer von vier verschiedenen Sicherheitszonen zugewiesen: Internet, Lokales Intranet, Vertrauenswürdige Sites und Eingeschränkte Sites. Die Sicherheitseinstellungen für eine Website werden anhand der Zone festgelegt, der die Website zugewiesen ist. -.- |
|
02.12.2010, 22:20
| #36 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- diese meldungen sind aber erst erschienen als mein pc infiziert wurde!! bzw als ich versucht habe es zu desinfizieren^^ |
|
02.12.2010, 22:34
| #37 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Wie gesagt, setz mal alle IE-Einstellungen auf Standard zurück.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.12.2010, 23:20
| #38 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- habsch schon.. |
|
03.12.2010, 11:24
| #39 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Erstell dir doch mal über die Systemsteuerung mal einen neuen Benutzer mit Adminrechten. Log dich aus und mit dem neuen Benutzer ein. Probier den Lauf mit CF dann nochmal.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.12.2010, 14:07
| #40 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- ok wird gemacht.. |
|
04.12.2010, 10:20
| #41 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- ok problem ist jez das cofi mir anzeigt das ich noch nen programm im background laufen lasse obwohl ich das programm gestern schon geloescht habe!! was tun?? es handelt sich um spybot, das wobei du mir geraten hast es zu deinstallieren  |
|
04.12.2010, 17:55
| #42 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Wenn es deinstalliert ist, kannst du die meldung ignorieren und einfach weitermachen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.12.2010, 20:47
| #43 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- ok auf deine verantwortung ^^ |
|
07.12.2010, 20:49
| #44 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- habs geschafft hier ist das logfile Combofix Logfile: Code:
ATTFilter ComboFix 10-12-06.04 - renshen 07.12.2010 20:39:56.1.4 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3255.1894 [GMT 1:00]
ausgeführt von:: c:\users\renshen\Desktop\cofi.exe
SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\jdsfjsdijf.exe
c:\jdsfjsdijf.exe\config.bin
C:\ONWERETExx.exe
c:\onweretexx.exe\config.bin
c:\onweretexx.exe\ONWERETExx.exe
c:\program files\\setup.exe
c:\program files\Setup.exe
c:\users\Nhan\AppData\Roaming\install
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-07 bis 2010-12-07 ))))))))))))))))))))))))))))))
.
2010-12-07 19:45 . 2010-12-07 19:45 -------- d-----w- c:\users\Nhan\AppData\Local\temp
2010-12-07 19:45 . 2010-12-07 19:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-07 19:45 . 2010-12-07 19:45 -------- d-----w- c:\users\Cao\AppData\Local\temp
2010-12-04 09:07 . 2010-12-04 09:08 -------- d-----w- c:\users\renshen
2010-12-02 15:04 . 2010-12-02 15:04 -------- d-----w- c:\program files\CCleaner
2010-11-28 19:48 . 2010-11-28 19:48 -------- d-----r- c:\users\Nhan\AppData\Roaming\Brother
2010-11-22 20:43 . 2010-11-22 20:43 -------- d-----w- c:\windows\Sun
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 14:06 . 2010-08-27 16:24 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-29 14:06 . 2010-08-27 16:24 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-23 20:10 . 2010-10-23 20:10 388096 ----a-r- c:\users\Nhan\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-10-23 12:42 . 2010-10-23 12:42 173 ----a-w- c:\users\Nhan\AppData\Roaming\20193.bat
2010-02-02 19:18 . 2010-02-02 19:18 10182144 ----a-w- c:\program files\openofficeorg32.msi
2006-05-03 09:06 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 12:30 216064 --sh--r- c:\windows\System32\nbDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"PDVD9LanguageShortcut"="c:\program files\CyberLink\PowerDVD9\Language\Language.exe" [2009-04-27 50472]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-01-12 8423968]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-01-12 678432]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-11-24 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-11-24 175640]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-11-24 166936]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-14 14817896]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\BullGuard.exe" [2010-04-06 2069840]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]
"ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2010-08-19 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-29 281768]
" Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
c:\users\Nhan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-5-3 110592]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\nvinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BsMain]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BsScanner]
@="Service"
R3 BgRaSvc;BgRaSvc;c:\program files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe [2010-03-03 120144]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
S1 AFW;Agnitum Firewall Driver;c:\windows\system32\DRIVERS\afw.sys [2009-12-04 29208]
S1 BdSpy;BdSpy;c:\windows\system32\DRIVERS\BdSpy.sys [2010-03-12 55888]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-29 135336]
S2 BsBrowser;BullGuard antiphishing service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsFileScan;BullGuard on-access service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsFire;BullGuard firewall service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsMailProxy;BullGuard e-mail monitoring service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsMain;BullGuard main service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsUpdate;BullGuard update service;c:\program files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe [2010-09-22 355720]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-01-03 246520]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 afwcore;afwcore;c:\windows\system32\DRIVERS\afwcore.sys [2009-12-04 318488]
S3 BsScanner;BullGuard scanning service;c:\program files\BullGuard Ltd\BullGuard\BullGuardScanner.exe [2010-03-03 297808]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 125696]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-30 209920]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-11-13 58368]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2009-12-16 991776]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - oxwdeebg
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
BullGuard_Main REG_MULTI_SZ BsMain
BullGuard REG_MULTI_SZ BsFileScan BsMailProxy BsFire
BullGuard_LowPriv REG_MULTI_SZ BsBrowser
iissvcs REG_MULTI_SZ w3svc was
apphost REG_MULTI_SZ apphostsvc
.
Inhalt des "geplante Tasks" Ordners
2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1539451478-733840103-1462338374-1000Core.job
- c:\users\Nhan\AppData\Local\Google\Update\GoogleUpdate.exe [2010-02-22 17:08]
2010-12-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1539451478-733840103-1462338374-1000UA.job
- c:\users\Nhan\AppData\Local\Google\Update\GoogleUpdate.exe [2010-02-22 17:08]
2010-12-07 c:\windows\Tasks\RegistryBooster.job
- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2010-10-24 11:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
LSP: c:\windows\system32\BGLsp.dll
FF - ProfilePath - c:\users\renshen\AppData\Roaming\Mozilla\Firefox\Profiles\qmb644nl.default\
FF - component: c:\program files\BullGuard Ltd\BullGuard\Antiphishing\FF\antiphishing@bullguard\components\BGFFComponent.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: BullGuard Antiphishing Toolbar: antiphishing@bullguard - c:\program files\BullGuard Ltd\BullGuard\Antiphishing\FF\antiphishing@bullguard
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
AddRemove-_{ADDBE07D-95B8-4789-9C76-187FFF9624B4} - c:\program files\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher {ADDBE07D-95B8-4789-9C76-187FFF9624B4}
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\oxwdeebg]
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-12-07 20:47:58
ComboFix-quarantined-files.txt 2010-12-07 19:47
Vor Suchlauf: 9 Verzeichnis(se), 316.963.495.936 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 316.852.244.480 Bytes frei
- - End Of File - - 14CFDDD5ECC46CB6F0299485E69FD8EE
|
|
08.12.2010, 10:13
| #45 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File::
c:\users\Nhan\AppData\Roaming\20193.bat
Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\oxwdeebg]
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- |
| 7-zip, autorun, avgntflt.sys, avira, bho, converter, corp./icp, druck, ebay, enigma, error, excel, excel.exe, fehler, firefox, flash player, fontcache, helper, home, home premium, iastor.sys, install.exe, launch, location, logfile, microsoft office word, microsoft security, microsoft security essentials, mozilla, mp3, nvlddmkm.sys, nvstor.sys, office 2007, oldtimer, otl logfile, plug-in, realtek, registry, rundll, safer networking, saver, scan, security, security update, senden, server, shell32.dll, software, super, usb, usb 2.0, webcheck, windows, wireless lan |
Linear-Darstellung
