|
Plagegeister aller Art und deren Bekämpfung: gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglichWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.01.2011, 20:01 | #16 |
| gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich nein das sagt mir gar nichts. |
28.01.2011, 20:03 | #17 |
/// Malware-holic | gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich schaun wir mal
__________________bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ |
28.01.2011, 21:35 | #18 |
| gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich Hier der ComboFix-Log. Zu Beginn des Scans öfnnete sich ein Fenster mit einer Warnung dass ComboFix Rootkit-Aktivitäten entdeckt hätte und ich deshalb den PC neustarten müsste. Das habe ich dann auch getan (auch wenn das in der Anleitung nicht vorkam).
__________________Combofix Logfile: Code:
ATTFilter ComboFix 11-01-28.01 - v** 28.01.2011 21:20:40.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.371 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\v**\Desktop\ComboFix.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-12-28 bis 2011-01-28 )))))))))))))))))))))))))))))) . 2011-01-26 20:07 . 2011-01-26 20:07 -------- d-----w- c:\programme\VideoLAN 2011-01-23 16:33 . 2011-01-23 16:33 -------- d-----w- c:\dokumente und einstellungen\g****\Anwendungsdaten\Malwarebytes 2011-01-08 11:16 . 2011-01-08 11:16 -------- d-----w- c:\dokumente und einstellungen\v**\Anwendungsdaten\EAC 2011-01-08 11:16 . 2011-01-08 11:16 -------- d-----w- c:\programme\Exact Audio Copy 2011-01-01 17:08 . 2001-08-18 03:54 5632 ----a-w- c:\windows\system32\ptpusb.dll 2011-01-01 17:08 . 2008-04-14 06:52 159232 ----a-w- c:\windows\system32\ptpusd.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-20 17:09 . 2010-12-11 14:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2010-12-11 14:46 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-12-18 12:11 . 2010-12-18 12:11 411368 ----a-w- c:\windows\system32\deployJava1.dll 2010-11-18 18:12 . 2010-12-11 10:25 86016 ----a-w- c:\windows\system32\isign32.dll 2010-11-09 14:51 . 2003-04-02 12:00 249856 ----a-w- c:\windows\system32\odbc32.dll 2010-11-06 00:21 . 2003-04-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-11-06 00:21 . 2003-04-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll 2010-11-06 00:21 . 2003-04-02 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl 2010-11-03 12:25 . 2010-12-11 11:03 385024 ----a-w- c:\windows\system32\html.iec 2010-11-02 15:17 . 2003-04-02 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LXBYCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll" [2004-09-10 69632] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\verwaltung\Startmen\Programme\Autostart\ Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2010-5-28 911920] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\lxbycoms.exe"= S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [28.05.2010 12:04 14896] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank Trusted Zone: microsoft.com\*.update Trusted Zone: microsoft.com\*.windowsupdate Trusted Zone: microsoft.com\update Trusted Zone: secunia.com\psi Trusted Zone: windowsupdate.com Trusted Zone: windowsupdate.com\download FF - ProfilePath - c:\dokumente und einstellungen\v**\Anwendungsdaten\Mozilla\Firefox\Profiles\p0cq5uzq.default\ FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232} . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Cmaudio - cmicnfg.cpl ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-01-28 21:27 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run LXBYCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2011-01-28 21:28:18 ComboFix-quarantined-files.txt 2011-01-28 20:28 Vor Suchlauf: 5 Verzeichnis(se), 20.947.316.736 Bytes frei Nach Suchlauf: 6 Verzeichnis(se), 20.915.380.224 Bytes frei - - End Of File - - 64884915E9E9CC163BCB695AD81A0D18 |
29.01.2011, 12:38 | #19 |
/// Malware-holic | gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich kannst du mal den inhalt dieser datei posten? ComboFix-quarantined-files.txt
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
29.01.2011, 14:19 | #20 |
| gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich 2011-01-28 20:27:39 . 2011-01-28 20:27:39 125 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-Cmaudio.reg.dat 2011-01-28 20:25:45 . 2011-01-28 20:25:45 6,484 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2011-01-28 20:01:07 . 2011-01-28 20:16:46 204 ----a-w- C:\Qoobox\Quarantine\catchme.log |
29.01.2011, 14:22 | #21 |
/// Malware-holic | gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich hmm ich sehe nichts von nem rootkit, nutzt du daimon tools oder ähniche cd emulatoren,besteht die verbindung noch?
__________________ --> gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich |
29.01.2011, 14:27 | #22 |
| gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich Heute gab es stattdessen eine Verbindung zu 80-239-228-41.customer.teliacarrier.com !? Eigenartig finde ich, dass man zu beiden Adressen soviel online findet. Nein ich benutze keinerlei "Damon Tools" oder "Cd Emulatoren". Ich weiss noch nicht mal was das ist. |
29.01.2011, 14:33 | #23 |
/// Malware-holic | gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich ich denke nicht das das schädliche verbindungen sind, aber schaun wir mal weiter. lade den CCleaner slim: Piriform - Builds falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
29.01.2011, 14:53 | #24 |
| gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich 7-Zip 9.20 ---------- NÖTIG Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.1.102.64 ---------- NÖTIG burnatonce ---------- NÖTIG C-Media 3D Audio ---------- NÖTIG??? (INSTALLIERT MIT AUDIOTREIBER) CCleaner Piriform 3.01 ----------- NÖTIG Exact Audio Copy 1.0beta1 Andre Wiethoff 1.0beta1 ---------- NÖTIG GIMP 2.6.11 The GIMP Team 2.6.11 ---------- NÖTIG Hotfix für Windows XP (KB969084) Microsoft Corporation 3 ---------- UNBEKANNT Lexmark P910 Series ---------- NÖTIG Malwarebytes' Anti-Malware Malwarebytes Corporation ---------- NÖTIG Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1 ---------- UNBEKANNT Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation ----------- UNBEKANNT Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 9.0.30729.4148 ---------- UNBEKANNT Mozilla Firefox (3.6.13) Mozilla 3.6.13 (de) ---------- NÖTIG Mozilla Thunderbird (3.1.7) Mozilla 3.1.7 (de) ---------- NÖTIG NVIDIA nForce Drivers ----------- NÖTIG OpenOffice.org 3.2 OpenOffice.org 3.2.9502 ---------- NÖTIG PDF-XChange Viewer Tracker Software Products Ltd. 2.5.188.0 ----------- NÖTIG Secunia PSI ----------- NÖTIG Tweak UI ----------- NÖTIG VLC media player 1.1.6 VideoLAN 1.1.6 ----------- NÖTIG Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation ---------- NÖTIG ? Windows Internet Explorer 8 Microsoft Corporation 20090308.140743 ----------- UNNÖTIG ;-) Windows Media Format 11 runtime ---------- UNBEKANNT Windows Media Player 11 ----------- UNNÖTIG Windows XP Service Pack 3 Microsoft Corporation 20080414.031514 ---------- NÖTIG |
29.01.2011, 15:53 | #25 |
/// Malware-holic | gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich wie siehts aus wenn du den ff im safe mode, also ohne plugin startest gibts die verbindungen dann auch?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
29.01.2011, 20:53 | #26 |
| gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich ja, leider. |
29.01.2011, 21:16 | #27 |
| gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich Seit heut Abend ist es wieder "static-ip-62-41.eurorings.net" und zwar regelmäßig im Log. Was kann das nur sein? |
04.02.2011, 12:17 | #28 |
/// Malware-holic | gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich |
aktuelle, anti-malware, benötige, benötigt, bösartige, crash, dateien, ersetzt, erstellen, explorer, gehackte, gescannt, guten, heute, links, minute, neuste, nicht möglich, otl-log, poste, posten, service, version, voll, website, ältere |