|
Plagegeister aller Art und deren Bekämpfung: Ist PC nach Trojaner Internet Security 2010 wieder sauber?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.02.2011, 07:00 | #1 |
| Ist PC nach Trojaner Internet Security 2010 wieder sauber? Trojaner Security Suite erwartet beim Scan von Malware AntiMal MBAM, andere Trojaner gefunden, ist der PC wieder sauber? Symtome: Internet ging nur eingeschränkt, Systemauslastung teilweise 50 Prozent Programm startete mit Bitte um Registrierung, sicherlich falscher Scan mit falscher Warnung Beobachtungen: Prozess jew.exe kein msascui.exe gefunden malware unter anderem User und abgesischerten Modus laufen lassen, hier der Log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5854 Windows 6.0.6002 Service Pack 2 (Safe Mode) Internet Explorer 8.0.6001.19019 23.02.2011 18:40:38 mbam-log-2011-02-23 (18-40-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 351220 Laufzeit: 1 Stunde(n), 1 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\$Recycle.Bin\S-1-5-21-2948474076-2679081757-2574531004-1000\$R2ZDSWX.exe (Adware.MyWebSearch) -> No action taken. anschließend Anmeldung unter diesem User "gefühlt" funktionierte der PC gut Wise Registry cleaning laufen lassen Dann Anmeldung mit ursprünglichem User (Adminrechte) und gleiches Phänomen -> wieder Malware AntiMal laufen lassen, hier der Log Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 5854 Windows 6.0.6002 Service Pack 2 (Safe Mode) Internet Explorer 8.0.6001.19019 24.02.2011 21:13:41 mbam-log-2011-02-24 (21-13-41).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 41867 Time elapsed: 9 minute(s), 14 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 10 Registry Values Infected: 0 Registry Data Items Infected: 1 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully. Registry Values Infected: (No malicious items detected) Registry Data Items Infected: HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\*\AppData\Local\jew.exe" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully. Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) -> OTL OTL logfile created on: 25.02.2011 01:52:47 - Run 1 siehe Zip File Ich würde mich sehr über Hilfe freuen. Danke |
25.02.2011, 09:41 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ist PC nach Trojaner Internet Security 2010 wieder sauber?Zitat:
__________________ |
25.02.2011, 11:14 | #3 |
| Ist PC nach Trojaner Internet Security 2010 wieder sauber? Hallo Arne,
__________________nach dem erneueten Scan wieder Infektionen. Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.19019 25.02.2011 07:48:11 mbam-log-2011-02-25 (07-48-11).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 122031 Time elapsed: 53 minute(s), 41 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: c:\users\*\appdata\local\jew.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\Users\*\AppData\Local\microsoft\Windows\temporary internet files\Low\Content.IE5\S3L5PC10\OTH[1].scr (Trojan.Dropper.PGen) -> Quarantined and deleted successfully. Eine Frage zu dem "Verlauf": Warum war der Trojaner Vundo bei dem Benutzer B wieder da, obwohl der Scan bei Benutzer A malwarefrei war? Muss man den Scan immer für jeden Benutzer machen? Grüße Silke Geändert von kudu (25.02.2011 um 11:50 Uhr) |
25.02.2011, 11:49 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ist PC nach Trojaner Internet Security 2010 wieder sauber? Poste bitte das Log auch wenn keine Funde dabei waren. Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________ Logfiles bitte immer in CODE-Tags posten |
25.02.2011, 13:19 | #5 |
| Ist PC nach Trojaner Internet Security 2010 wieder sauber? Hallo Arne, hier das neue Posting - eben fertig geworden - jetzt wieder bei mbam nichts zu finden: Malwarebytes' Anti-Malware 1.50.1.1100 Malwarebytes Database version: 5874 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.19019 25.02.2011 09:15:31 mbam-log-2011-02-25 (09-15-31).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 315353 Time elapsed: 1 hour(s), 24 minute(s), 36 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Grüße Silke und noch ein paar "ältere": Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5854 Windows 6.0.6002 Service Pack 2 (Safe Mode) Internet Explorer 8.0.6001.19019 23.02.2011 18:40:38 mbam-log-2011-02-23 (18-40-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 351220 Laufzeit: 1 Stunde(n), 1 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 5854 Windows 6.0.6002 Service Pack 2 (Safe Mode) Internet Explorer 8.0.6001.19019 24.02.2011 22:16:47 mbam-log-2011-02-24 (22-16-47).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 316188 Time elapsed: 1 hour(s), 0 minute(s), 29 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 5854 Windows 6.0.6002 Service Pack 2 (Safe Mode) Internet Explorer 8.0.6001.19019 24.02.2011 22:16:47 mbam-log-2011-02-24 (22-16-47).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 316188 Time elapsed: 1 hour(s), 0 minute(s), 29 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Grüße Silke Geändert von kudu (25.02.2011 um 13:28 Uhr) |
25.02.2011, 14:29 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ist PC nach Trojaner Internet Security 2010 wieder sauber? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Ist PC nach Trojaner Internet Security 2010 wieder sauber? |
25.02.2011, 15:43 | #7 |
| Ist PC nach Trojaner Internet Security 2010 wieder sauber? Hallo Arne, habe die cofi.exe ausgeführt, hatte keine Installation so wie in der Anleitung. Es kam die Adminconsole, in der wurden die Punkte ausgeführt, zum Schluss eine Fehlermeldung zu einem Schlüssel - war leider zu langsam. Muss ich jetzt neu booten? Ich kann weder ins Internet, ich wollte die Services des Antivirenprogramms wieder aktivieren, den Windowsexplorer starten. Es kommt die Fehlermeldung: Es wurde versucht, einem Regierungsschlüssel einen unzulässigen Vorgang ..., der zum Löschen markiert wurde: z.b. C:\windows\explorer Hab ich überhaupt noch ein lauffähiges System? Ich traue mich jetzt nicht, den PC zu booten... Könnte ev. per USB-Stick das logfile zur Verfügung stellen hier, aber mag mir nicht auch diesen Rechner "verseuchen". Grüße Silke |
25.02.2011, 15:48 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ist PC nach Trojaner Internet Security 2010 wieder sauber? Ja bitte neu starten und nochmal mit cofi probieren.
__________________ Logfiles bitte immer in CODE-Tags posten |
25.02.2011, 16:32 | #9 |
| Ist PC nach Trojaner Internet Security 2010 wieder sauber? Hallo Arne, anbei das Log, aber ich muss wieder neu booten. Combofix Logfile: Code:
ATTFilter ComboFix 11-02-24.05 - Silke 25.02.2011 11:55:37.2.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3066.2056 [GMT -3:00] ausgeführt von:: c:\users\Silke\Desktop\Cofi.exe AV: McAfee Anti-Virus und Anti-Spyware *Enabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637} FW: McAfee Firewall *Disabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C} SP: McAfee Anti-Virus und Anti-Spyware *Enabled/Updated* {3D54B793-665E-3129-9103-206115370C8A} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Im Speicher befindliches AV aktiv. . ((((((((((((((((((((((( Dateien erstellt von 2011-01-25 bis 2011-02-25 )))))))))))))))))))))))))))))) . 2011-02-25 15:04 . 2011-02-25 15:04 -------- d-----w- c:\users\Peggy\AppData\Local\temp 2011-02-25 15:04 . 2011-02-25 15:04 -------- d-----w- c:\users\Default\AppData\Local\temp 2011-02-25 13:49 . 2011-02-25 13:50 -------- d-----w- C:\Cofi 2011-02-25 05:25 . 2011-02-02 20:10 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{64941C75-6616-46EC-8215-838A8D2125F2}\mpengine.dll 2011-02-25 05:25 . 2011-02-02 20:11 222080 ------w- c:\windows\system32\MpSigStub.exe 2011-02-25 00:03 . 2011-02-25 00:03 -------- d-----w- c:\users\Peggy\AppData\Roaming\Malwarebytes 2011-02-24 00:09 . 2011-02-24 00:47 -------- d-----w- c:\program files\Wise Disk Cleaner 2011-02-24 00:08 . 2011-02-24 00:08 -------- d-----w- c:\program files\Ask.com 2011-02-24 00:08 . 2011-02-24 00:08 -------- d-----w- C:\Firefox 2011-02-24 00:07 . 2011-02-24 00:08 -------- d-----w- c:\program files\Wise Registry Cleaner 2011-02-23 21:40 . 2011-02-25 14:30 -------- d-----w- C:\Temp 2011-02-23 19:53 . 2010-12-20 21:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-02-23 19:53 . 2011-02-25 09:52 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2011-02-23 19:53 . 2011-02-23 19:53 -------- d-----w- c:\programdata\Malwarebytes 2011-02-23 19:53 . 2010-12-20 21:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-02-23 19:53 . 2011-02-23 19:53 -------- d-----w- c:\program files\Conduit 2011-02-23 19:53 . 2011-02-23 19:53 -------- d-----w- c:\program files\softonic-de3 2011-02-23 19:48 . 2011-02-23 19:48 -------- d-----w- c:\programdata\PC Tools 2011-02-23 16:38 . 2011-02-23 16:38 -------- d-----w- c:\users\Silke 2011-02-18 17:28 . 2011-02-18 17:28 -------- d-----w- c:\programdata\GbPlugin 2011-02-13 22:57 . 2011-02-13 22:57 -------- d-----w- c:\program files\Common Files\Skype 2011-02-13 20:50 . 2011-02-13 20:50 -------- d-----w- c:\program files\NDrive 2011-02-12 16:02 . 2011-02-12 16:02 -------- d-----w- c:\programdata\TomTom 2011-02-12 16:01 . 2011-02-12 16:01 -------- d-----w- c:\users\Peggy\AppData\Roaming\TomTom 2011-02-12 16:01 . 2011-02-12 16:01 -------- d-----w- c:\users\Peggy\AppData\Local\TomTom 2011-02-12 16:01 . 2011-02-12 16:01 -------- d-----w- c:\program files\TomTom International B.V 2011-02-12 16:00 . 2011-02-12 16:00 -------- d-----w- c:\program files\TomTom HOME 2 2011-02-12 15:59 . 2011-02-12 15:59 -------- d-----w- c:\program files\TomTom DesktopSuite 2011-02-09 09:44 . 2010-12-31 13:57 2039808 ----a-w- c:\windows\system32\win32k.sys 2011-02-09 09:44 . 2010-10-15 14:08 3602320 ----a-w- c:\windows\system32\ntkrnlpa.exe 2011-02-09 09:44 . 2010-10-15 14:08 3550096 ----a-w- c:\windows\system32\ntoskrnl.exe 2011-02-09 09:44 . 2010-10-15 13:48 1205080 ----a-w- c:\windows\system32\ntdll.dll 2011-02-09 09:44 . 2011-01-06 10:51 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat 2011-02-07 02:08 . 2010-12-03 19:43 555752 ----a-w- c:\program files\Mozilla Firefox\uninstall\helper.exe 2011-02-06 03:02 . 2011-02-06 03:02 1222408 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2011-01-30 16:57 . 2011-01-30 16:57 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll 2011-01-30 16:57 . 2011-01-30 16:57 103864 ----a-w- c:\program files\Internet Explorer\Plugins\nppdf32.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-28 15:55 . 2011-01-11 23:55 413696 ----a-w- c:\windows\system32\odbc32.dll 2010-12-14 14:49 . 2011-01-11 23:55 1169408 ----a-w- c:\windows\system32\sdclt.exe 2010-11-29 19:38 . 2010-11-29 19:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2010-11-29 19:38 . 2010-11-29 19:38 69632 ----a-w- c:\windows\system32\QuickTime.qts 2010-10-14 00:28 . 2010-08-26 11:30 24376 ----a-w- c:\program files\mozilla firefox\components\Scriptff.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-11-14 3913000] [HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] 2010-11-14 00:58 3913000 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}] 2010-11-14 00:58 3913000 ----a-w- c:\program files\softonic-de3\tbsoft.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] 2010-09-29 01:44 1400712 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-11-14 3913000] "{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-14 3913000] "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-29 1400712] [HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}] [HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1] [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\program files\softonic-de3\tbsoft.dll" [2010-11-14 3913000] "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-29 1400712] [HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1] [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-08-25 200704] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440] "Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-12-22 3810304] "Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-06-03 446635] "Dell DataSafe Online"="c:\program files\Dell DataSafe Online\DataSafeOnline.exe" [2009-11-13 1807600] "PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2008-07-04 132392] "dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-06-03 206064] "LifeChat"="c:\program files\Microsoft LifeChat\LifeChat.exe" [2008-08-21 267296] "mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2010-09-30 1193848] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160] "Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072] " Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976] "Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976] c:\users\Peggy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-2-27 1316192] c:\users\Silke\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-2-27 1316192] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536] QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-7-31 1616976] c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe [2009-2-27 1316192] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GoToAssist] 2009-06-15 10:53 10536 ----a-w- c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232] R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2010-10-14 84264] R3 PCD5SRVC{3F6A8B78-EC003E00-05040104};PCD5SRVC{3F6A8B78-EC003E00-05040104} - PCDR Kernel Mode Service Helper Driver;c:\progra~1\DELLSU~1\HWDiag\bin\PCD5SRVC.pkms [2008-11-04 22904] R3 VST_DPV;VST_DPV;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2008-01-21 987648] R3 VSTHWBS2;VSTHWBS2;c:\windows\system32\DRIVERS\VSTBS23.SYS [2008-01-21 251904] R4 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 136176] R4 McNaiAnn;McAfee VirusScan Announcer;c:\program files\Common Files\McAfee\McSvcHost\McSvHost.exe [2010-03-10 271480] S1 mfenlfk;McAfee NDIS Light Filter;c:\windows\system32\DRIVERS\mfenlfk.sys [2010-10-14 64304] S1 mfewfpk;McAfee Inc. mfewfpk;c:\windows\system32\drivers\mfewfpk.sys [2010-10-14 164840] S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe [2009-03-30 81920] S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-12-18 155648] S2 McMPFSvc;McAfee Personal Firewall-Dienst;c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe [2010-03-10 271480] S2 mfefire;McAfee Firewall Core Service;c:\program files\Common Files\McAfee\SystemCore\\mfefire.exe [2010-10-14 188136] S2 mfevtp;McAfee Validation Trust Protection Service;c:\program files\Common Files\McAfee\SystemCore\mfevtps.exe [2010-10-14 141792] S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2009-11-13 92008] S3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [2010-10-14 55840] S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2008-08-25 54784] S3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2008-08-25 203264] S3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [2010-10-14 313288] S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2009-01-19 133472] S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2009-01-19 279488] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - mfeavfk01 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr . Inhalt des "geplante Tasks" Ordners 2011-02-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 13:44] 2011-02-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 13:44] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://google.de/ DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab FF - ProfilePath - . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-02-25 12:04 Windows 6.0.6002 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{3F6A8B78-EC003E00-05040104}] "ImagePath"="\??\c:\progra~1\DELLSU~1\HWDiag\bin\PCD5SRVC.pkms" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (LocalSystem) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d1,36,28,10,85,b1,fc,42,ae,fb,dc,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d1,36,28,10,85,b1,fc,42,ae,fb,dc,\ [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice] @Denied: (2) (LocalSystem) "Progid"="IE.AssocFile.HTM" [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice] @Denied: (2) (LocalSystem) "Progid"="IE.AssocFile.HTM" [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\UserChoice] @Denied: (2) (LocalSystem) "Progid"="IE.AssocFile.MHT" [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\UserChoice] @Denied: (2) (LocalSystem) "Progid"="IE.AssocFile.MHT" [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.url\UserChoice] @Denied: (2) (LocalSystem) "Progid"="IE.AssocFile.URL" . Zeit der Fertigstellung: 2011-02-25 12:06:33 ComboFix-quarantined-files.txt 2011-02-25 15:06 ComboFix2.txt 2011-02-25 14:30 Vor Suchlauf: 16 Verzeichnis(se), 172.781.068.288 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 172.748.132.352 Bytes frei - - End Of File - - 7BF64E6E7A41ADF73CB51AA7F3BE1E7E Grüße Silke |
26.02.2011, 19:37 | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ist PC nach Trojaner Internet Security 2010 wieder sauber?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
05.03.2011, 18:52 | #11 |
| Ist PC nach Trojaner Internet Security 2010 wieder sauber? DANKE für die Hilfe. Habe die Firewall deinstalliert. |
07.03.2011, 15:43 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ist PC nach Trojaner Internet Security 2010 wieder sauber? Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Ist PC nach Trojaner Internet Security 2010 wieder sauber? |
anmeldung, anti-malware, appdata, dateien, detected, eingeschränkt, explorer, gen, infected, internet, internet security 2010 entfernen, log, logfile, malware, mbam, meldung, microsoft, msascui, recycle.bin, registry, rojaner gefunden, scan, searchscopes, security, shell, software, systemauslastung, trojan.vundo, trojaner, trojaner gefunden |