|
Plagegeister aller Art und deren Bekämpfung: Win32.FakeAlert.ttam und Win32.Palevo mit SpybotWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.03.2011, 18:00 | #1 | |
| Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Hallo! Ich bin beim googlen auf bereits auf folgendes Thema gestoßen: http://www.trojaner-board.de/96414-w...-entdeckt.html Allerdings würde ich einen weniger radikalen Weg bevorzugen. Zum Problem: Meine Sicherheitsprogramme dürften nicht die besten/aktuellsten gewesen sein. Gestern fing alles damit an, dass ZoneAlarm einen Zugriff von csrss.exe und anschließend von einigen anderen exe-Dateien meldete. Heute morgen arbeitete Firefox extrem langsam. Beim Anklicken von Google-Suchergebnissen kam ich auf irgendwelche Pornoseiten. Ich habe dann ein wenig gegooglet und Spybot installiert. Problem: win32.fakealert.ttam win32.palevo Beide tauchen immer wieder auf; auch nach der Problembehebung. AntiVir findet das Torjanische Pferd TR/Crypt.XPACK.Gen Die OTL.exe und mbam-setup.exe ließen sich erst beim dritten oder vierten Downloadversuch öffnen. Vorher kam immer die Fehlermeldung, dass die jeweilige Datei keine gültige Win32-Anwendung ist. Malwarebytes 1. Lauf Zitat:
OTL:OTL Logfile: Code:
ATTFilter OTL logfile created on: 22.03.2011 17:55:22 - Run 2 OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\XP\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 71,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 195,31 Gb Total Space | 181,29 Gb Free Space | 92,82% Space Free | Partition Type: NTFS Drive D: | 270,44 Gb Total Space | 220,57 Gb Free Space | 81,56% Space Free | Partition Type: NTFS Computer Name: BORIS | User Name: XP | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\XP\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH) PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe () PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Spybot - Search & Destroy\SpybotSD.exe (Safer Networking Limited) PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\UTSCSI.EXE () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\XP\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (NMIndexingService) -- File not found SRV - (AppMgmt) -- File not found SRV - (getPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.) SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe () SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (UTSCSI) -- C:\WINDOWS\system32\UTSCSI.EXE () SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys () DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (s816mdm) -- C:\WINDOWS\system32\drivers\s816mdm.sys (MCCI Corporation) DRV - (s816mgmt) Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s816mgmt.sys (MCCI Corporation) DRV - (s816unic) Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM) -- C:\WINDOWS\system32\drivers\s816unic.sys (MCCI) DRV - (s816obex) -- C:\WINDOWS\system32\drivers\s816obex.sys (MCCI Corporation) DRV - (s816nd5) Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS) -- C:\WINDOWS\system32\drivers\s816nd5.sys (MCCI Corporation) DRV - (s816mdfl) -- C:\WINDOWS\system32\drivers\s816mdfl.sys (MCCI Corporation) DRV - (s816bus) Sony Ericsson Device 816 driver (WDM) -- C:\WINDOWS\system32\drivers\s816bus.sys (MCCI Corporation) DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (s116unic) Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM) -- C:\WINDOWS\system32\drivers\s116unic.sys (MCCI Corporation) DRV - (s116obex) -- C:\WINDOWS\system32\drivers\s116obex.sys (MCCI Corporation) DRV - (s116nd5) Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS) -- C:\WINDOWS\system32\drivers\s116nd5.sys (MCCI Corporation) DRV - (s116mgmt) Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s116mgmt.sys (MCCI Corporation) DRV - (s116mdm) -- C:\WINDOWS\system32\drivers\s116mdm.sys (MCCI Corporation) DRV - (s116mdfl) -- C:\WINDOWS\system32\drivers\s116mdfl.sys (MCCI Corporation) DRV - (s116bus) Sony Ericsson Device 116 driver (WDM) -- C:\WINDOWS\system32\drivers\s116bus.sys (MCCI Corporation) DRV - (nvata) -- C:\WINDOWS\system32\DRIVERS\nvata.sys (NVIDIA Corporation) DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys () DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57152 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Web Search..." FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7 FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2 FF - prefs.js..extensions.enabledItems: 5 FF - prefs.js..extensions.enabledItems: 2 FF - prefs.js..extensions.enabledItems: 2 FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.63 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - prefs.js..keyword.URL: "hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=" FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 57152 FF - prefs.js..network.proxy.type: 1 FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008.06.02 11:10:26 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.03.22 17:33:59 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.22 17:33:56 | 000,000,000 | ---D | M] [2008.08.31 08:45:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Extensions [2011.03.22 14:26:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\extensions [2010.04.28 15:14:19 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2009.05.09 17:03:46 | 000,000,000 | ---D | M] (FoxyTunes) -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374} [2010.10.14 21:22:21 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2010.06.29 20:49:33 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} [2010.04.03 18:44:24 | 000,000,000 | ---D | M] (TVU Web Player) -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\extensions\firefox@tvunetworks.com [2010.09.25 16:01:22 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\extensions\vshare@toolbar [2010.04.28 15:14:19 | 000,000,000 | ---D | M] (YouTube to MP3) -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\extensions\youtube2mp3@mondayx.de [2010.09.25 16:01:29 | 000,001,583 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\searchplugins\web-search.xml [2008.08.21 14:00:28 | 000,001,196 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\searchplugins\winamp-search.xml [2011.03.22 17:33:59 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011.03.18 18:56:37 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll [2010.01.01 09:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.01.01 09:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml [2010.01.01 09:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.01.01 09:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.01.01 09:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.01.01 09:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\XP\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm () O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\XP\Desktop\clockwork02.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\XP\Desktop\clockwork02.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.04.21 18:23:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.03.22 17:34:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla [2011.03.22 17:34:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla [2011.03.22 17:27:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2011.03.22 17:26:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\Malwarebytes [2011.03.22 17:25:32 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.03.22 17:25:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.03.22 17:25:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.03.22 17:25:18 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.03.22 17:25:17 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.03.22 17:22:45 | 007,734,208 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\XP\Desktop\mbam-setup.exe [2011.03.22 16:56:46 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XP\Desktop\OTL.exe [2011.03.22 14:29:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy [2011.03.22 14:29:19 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2011.03.22 14:29:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2011.03.22 14:19:46 | 016,409,960 | ---- | C] (Safer Networking Limited ) -- C:\Dokumente und Einstellungen\XP\Desktop\spybotsd162.exe [2011.03.10 16:36:30 | 002,832,544 | ---- | C] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\XP\Desktop\install_flash_player.exe [2011.03.08 16:02:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XP\Desktop\Fotos Anhänger Camper [2011.02.28 21:17:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XP\Desktop\G [2011.02.28 21:05:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XP\Desktop\borussia [2011.02.23 18:21:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XP\Lokale Einstellungen\Anwendungsdaten\PDF24 [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.03.22 17:42:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.03.22 17:34:01 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2011.03.22 17:25:32 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.03.22 17:23:30 | 007,734,208 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\XP\Desktop\mbam-setup.exe [2011.03.22 17:21:08 | 000,013,547 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\C23A.818 [2011.03.22 17:19:34 | 000,000,219 | ---- | M] () -- C:\WINDOWS\wininit.ini [2011.03.22 17:03:13 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\XP\Desktop\OTL.exe [2011.03.22 16:59:06 | 000,000,245 | -HS- | M] () -- C:\boot.ini [2011.03.22 14:46:35 | 000,649,728 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\MicrosoftFixit50102.msi [2011.03.22 14:27:24 | 016,409,960 | ---- | M] (Safer Networking Limited ) -- C:\Dokumente und Einstellungen\XP\Desktop\spybotsd162.exe [2011.03.21 08:25:23 | 000,013,684 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.03.10 16:36:30 | 002,832,544 | ---- | M] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\XP\Desktop\install_flash_player.exe [2011.03.09 06:30:54 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2011.03.07 13:09:38 | 000,342,257 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\boekelberg.jpg [2011.03.02 23:28:50 | 000,016,940 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\hands_jake.JPG [2011.03.02 16:18:58 | 000,527,451 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\100_4383.JPG [2011.03.02 16:18:54 | 000,558,206 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\100_4384.JPG [2011.03.02 16:18:51 | 000,462,993 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\100_4380.JPG [2011.03.02 16:18:47 | 000,497,917 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\100_4386.JPG [2011.03.01 22:02:30 | 000,558,206 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\Jonathan.JPG [2011.02.27 19:34:59 | 000,732,783 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\stadtjugendring-logo ganz.rar [2011.02.26 17:05:13 | 000,204,855 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\UB zum Sozialistengesetz 09.02.2011 - Karolin Kaumanns.pdf [2011.02.23 23:13:44 | 003,606,656 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\Nighttrain - Hallo Bimmelbahn.mp3 [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.03.22 17:34:01 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox [2011.03.22 17:34:01 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2011.03.22 17:25:32 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.03.22 15:51:31 | 000,000,219 | ---- | C] () -- C:\WINDOWS\wininit.ini [2011.03.22 14:46:35 | 000,649,728 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\MicrosoftFixit50102.msi [2011.03.22 07:54:39 | 000,013,547 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\C23A.818 [2011.03.07 13:09:38 | 000,342,257 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\boekelberg.jpg [2011.03.02 23:21:28 | 000,016,940 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\hands_jake.JPG [2011.03.02 16:18:58 | 000,527,451 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\100_4383.JPG [2011.03.02 16:18:54 | 000,558,206 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\100_4384.JPG [2011.03.02 16:18:51 | 000,462,993 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\100_4380.JPG [2011.03.02 16:18:46 | 000,497,917 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\100_4386.JPG [2011.03.01 22:02:29 | 000,558,206 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\Jonathan.JPG [2011.02.27 19:38:47 | 035,342,956 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\stadtjugendring-logo ganz.tif [2011.02.27 19:34:59 | 000,732,783 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\stadtjugendring-logo ganz.rar [2011.02.26 17:05:24 | 000,204,855 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\UB zum Sozialistengesetz 09.02.2011 - Karolin Kaumanns.pdf [2011.02.23 23:13:26 | 003,606,656 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Desktop\Nighttrain - Hallo Bimmelbahn.mp3 [2010.12.04 12:16:20 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2010.11.16 21:29:17 | 000,000,033 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{081230F8-EA50-42A9-983C-D22ABC2EED3B}.ini [2010.07.09 14:13:36 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\$_hpcst$.hpc [2010.06.06 18:06:42 | 000,001,444 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2010.06.05 20:44:49 | 000,001,302 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ss.ini [2010.01.17 17:48:37 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll [2010.01.17 17:48:37 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe [2010.01.16 13:11:46 | 000,000,037 | ---- | C] () -- C:\WINDOWS\iltwain.ini [2010.01.01 17:45:05 | 000,130,048 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2009.11.20 18:24:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Indu.ini [2009.11.02 18:53:28 | 000,000,069 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\AVSMediaPlayer.m3u [2009.09.08 15:58:41 | 000,075,583 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\mdbu.bin [2009.08.04 08:43:06 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2009.01.03 20:40:24 | 000,000,071 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\AVSDVDPlayer.m3u [2009.01.03 20:36:34 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2009.01.03 20:36:34 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2008.11.17 10:32:21 | 000,502,784 | ---- | C] () -- C:\WINDOWS\x2.64.exe [2008.11.17 10:32:21 | 000,240,128 | ---- | C] () -- C:\WINDOWS\System32\x.264.exe [2008.11.17 10:32:21 | 000,217,073 | ---- | C] () -- C:\WINDOWS\meta4.exe [2008.11.17 10:32:21 | 000,066,560 | ---- | C] () -- C:\WINDOWS\MOTA113.exe [2008.11.17 10:32:21 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2008.08.11 15:46:24 | 000,284,160 | ---- | C] () -- C:\WINDOWS\unin0407.exe [2008.04.24 19:10:06 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\UTSCSI.EXE [2008.04.24 16:34:35 | 000,028,160 | ---- | C] () -- C:\Dokumente und Einstellungen\XP\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.04.24 08:45:49 | 000,015,171 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini [2008.04.24 00:17:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2008.04.23 19:16:45 | 000,001,169 | ---- | C] () -- C:\WINDOWS\mozver.dat [2008.04.23 18:37:21 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2008.04.21 19:13:39 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2008.04.21 19:12:47 | 000,251,880 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2008.04.21 18:43:28 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2008.04.21 18:41:50 | 000,001,732 | R--- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin [2008.04.21 18:34:49 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2008.04.21 18:34:46 | 000,015,133 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2008.04.21 18:34:36 | 000,012,536 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2008.04.21 18:24:53 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2008.04.21 18:21:51 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2007.10.04 16:14:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.10.04 16:14:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2007.10.04 16:14:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.10.04 16:14:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2007.10.04 16:14:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.10.04 16:14:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.10.04 16:14:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2007.10.04 16:14:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2007.10.04 16:14:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2006.02.28 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2006.02.28 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2006.02.28 13:00:00 | 000,458,822 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2006.02.28 13:00:00 | 000,441,124 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2006.02.28 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2006.02.28 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2006.02.28 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2006.02.28 13:00:00 | 000,084,326 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2006.02.28 13:00:00 | 000,071,060 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2006.02.28 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2006.02.28 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2006.02.28 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2006.02.28 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2006.02.28 13:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2006.02.28 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2006.02.28 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [1997.06.14 12:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll < End of report > Alles weg? Für eure Hilfe wäre ich wirklich dankbar. Welche Programme sind wirklich hilfreich im Alltag? Welche Kombination empfehlt ihr? Antivir und Spybot? |
22.03.2011, 20:28 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________
__________________ |
22.03.2011, 20:35 | #3 | |
| Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Klar! Die vom zweiten Suchlauf. Glatt vergessen zu posten. Sorry!
__________________Zitat:
|
22.03.2011, 20:45 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Win32.FakeAlert.ttam und Win32.Palevo mit SpybotZitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________ Logfiles bitte immer in CODE-Tags posten |
22.03.2011, 21:25 | #5 | |
| Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Nein, ältere Logs gibt es nicht, da ich Malwarebytes heute erst installiert habe. Daher ja auch meine Frage, welche Programme ich verwenden soll. Frisch aktualisiert;Vollscan-Log: Zitat:
|
22.03.2011, 21:38 | #6 |
| Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Was neues: Antivir findet das Trojanische Pferd TR/Drop.Softomat.AN in C:\Systeme Volume Information\...\A0116214.exe C:\Systeme Volume Information\...\A0116240.exe ... |
23.03.2011, 08:24 | #7 | |
| Win32.FakeAlert.ttam und Win32.Palevo mit Spybot So, gerade noch mal einen Suchlauf gemacht (vorher aktualisiert); Zitat:
|
23.03.2011, 10:37 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 57152 FF - prefs.js..network.proxy.type: 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57152 [2011.03.22 17:21:08 | 000,013,547 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Anwendungsdaten\C23A.818 [2011.03.22 14:46:35 | 000,649,728 | ---- | M] () -- C:\Dokumente und Einstellungen\XP\Desktop\MicrosoftFixit50102.msi :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
23.03.2011, 11:32 | #9 | |
| Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Danke für die einfache Beschreibung, die sogar ich verstehe. Zitat:
|
23.03.2011, 12:24 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
23.03.2011, 12:52 | #11 |
| Win32.FakeAlert.ttam und Win32.Palevo mit Spybot gesagt - getan: Combofix Logfile: Code:
ATTFilter ComboFix 11-03-22.09 - XP 23.03.2011 12:34:47.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1617 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\XP\Desktop\cofi.exe AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\XP\Anwendungsdaten\.# c:\dokumente und einstellungen\XP\Anwendungsdaten\.#\MBX@AC0@383F80.### c:\dokumente und einstellungen\XP\Anwendungsdaten\.#\MBX@AC0@383FB0.### c:\dokumente und einstellungen\XP\Anwendungsdaten\AD ON Multimedia c:\dokumente und einstellungen\XP\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\config.ini . . ((((((((((((((((((((((( Dateien erstellt von 2011-02-23 bis 2011-03-23 )))))))))))))))))))))))))))))) . . 2011-03-23 10:26 . 2011-03-23 10:26 -------- d-----w- C:\_OTL 2011-03-22 16:34 . 2011-03-22 16:34 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla 2011-03-22 16:33 . 2011-03-18 17:56 142296 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll 2011-03-22 16:33 . 2011-03-18 17:56 781272 ----a-w- c:\programme\Mozilla Firefox\mozsqlite3.dll 2011-03-22 16:33 . 2011-03-18 17:56 728024 ----a-w- c:\programme\Mozilla Firefox\libGLESv2.dll 2011-03-22 16:33 . 2011-03-18 17:56 1975768 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_42.dll 2011-03-22 16:33 . 2011-03-18 17:56 1893336 ----a-w- c:\programme\Mozilla Firefox\d3dx9_42.dll 2011-03-22 16:33 . 2011-03-18 17:56 1874904 ----a-w- c:\programme\Mozilla Firefox\mozjs.dll 2011-03-22 16:33 . 2011-03-18 17:56 15832 ----a-w- c:\programme\Mozilla Firefox\mozalloc.dll 2011-03-22 16:33 . 2011-03-18 17:56 142296 ----a-w- c:\programme\Mozilla Firefox\libEGL.dll 2011-03-22 16:29 . 2011-03-22 16:29 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2011-03-22 16:26 . 2011-03-22 16:26 -------- d-----w- c:\dokumente und einstellungen\XP\Anwendungsdaten\Malwarebytes 2011-03-22 16:25 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-03-22 16:25 . 2011-03-22 16:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2011-03-22 16:25 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-03-22 16:25 . 2011-03-22 16:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2011-03-22 13:29 . 2011-03-23 11:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2011-03-22 13:29 . 2011-03-22 13:31 -------- d-----w- c:\programme\Spybot - Search & Destroy 2011-02-23 17:21 . 2011-02-23 17:21 -------- d-----w- c:\dokumente und einstellungen\XP\Lokale Einstellungen\Anwendungsdaten\PDF24 . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-02-09 13:53 . 2006-02-28 12:00 270848 ----a-w- c:\windows\system32\sbe.dll 2011-02-09 13:53 . 2006-02-28 12:00 186880 ----a-w- c:\windows\system32\encdec.dll 2011-02-02 07:58 . 2008-04-21 17:20 2067456 ----a-w- c:\windows\system32\mstscax.dll 2011-01-27 11:57 . 2008-04-21 17:20 677888 ----a-w- c:\windows\system32\mstsc.exe 2011-01-21 14:44 . 2006-02-28 12:00 440832 ----a-w- c:\windows\system32\shimgvw.dll 2011-01-07 14:09 . 2006-02-28 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll 2010-12-31 14:03 . 2006-02-28 12:00 1855104 ----a-w- c:\windows\system32\win32k.sys 2011-03-18 17:56 . 2011-03-22 16:33 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416] "SkyTel"="SkyTel.EXE" [2007-06-15 1826816] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-04 8523776] "nwiz"="nwiz.exe" [2007-12-04 1626112] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-04 81920] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-02 185896] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-23 148888] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888] "PDFPrint"="c:\programme\pdf24\pdf24.exe" [2010-12-14 216456] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Age of Empires II\\age2_x1\\age2_x1.exe"= "c:\\WINDOWS\\system32\\dplaysvr.exe"= "d:\\oldschool\\AVSP\\AvP.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= . R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.11.2009 18:19 108289] S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [15.08.2008 14:23 81832] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [15.08.2008 14:23 13864] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [15.08.2008 14:23 107304] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [15.08.2008 14:25 99112] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [15.08.2008 14:25 21928] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [15.08.2008 14:25 97320] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [15.08.2008 14:25 97704] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] getPlusHelper REG_MULTI_SZ getPlusHelper . . ------- Zusätzlicher Suchlauf ------- . IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\XP\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\XP\Anwendungsdaten\Mozilla\Firefox\Profiles\ovahzbir.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - prefs.js: network.proxy.type - 0 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . AddRemove-Werkstatt Geschichte 1 - h:\karo\LAPTOP\REFERENDARIAT\GESCHICHTE\allgemeine Materialien\Uninstall.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-03-23 12:37 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-527237240-1364589140-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{46F42B67-D681-46F6-A0E7-C980B4D778FB}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "oanhlljmooacjoicgglkdeaembbinf"=hex:64,61,6b,6e,65,6a,67,70,00,85 "oajgclljjmfjgodbodebcdbnidkdlh"=hex:69,61,6a,6e,6e,6e,62,6d,70,61,6d,66,62,67, 69,6b,62,63,00,00 "naphjifegkdfllflplodhpglmohi"=hex:69,61,6a,6e,6e,6e,62,6d,70,61,6d,66,62,67, 69,6b,62,63,00,00 . [HKEY_USERS\S-1-5-21-527237240-1364589140-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:db,c1,88,db,b3,80,0e,00,04,b1,e9,e1,ff,ab,62,6e,ac,0a,1b,46,d2,7b,7e, 3c,f3,f3,ee,9c,89,35,91,28,53,e5,a1,98,c6,ec,38,06,ae,79,22,54,e1,88,a6,36,\ "??"=hex:c3,d5,c8,28,50,2c,0f,b4,c9,ab,15,59,f9,01,9f,56 . Zeit der Fertigstellung: 2011-03-23 12:37:46 ComboFix-quarantined-files.txt 2011-03-23 11:37 . Vor Suchlauf: 10 Verzeichnis(se), 194.908.160.000 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 194.934.558.720 Bytes frei . WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect [spybotsd] timeout.old=30 . - - End Of File - - 8C5675CAE8ECB6940183A7857E260199 |
23.03.2011, 13:22 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html
__________________ Logfiles bitte immer in CODE-Tags posten |
23.03.2011, 18:42 | #13 | |
| Win32.FakeAlert.ttam und Win32.Palevo mit Spybot TDSSKiler Log Zitat:
|
23.03.2011, 20:29 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
23.03.2011, 22:29 | #15 | ||
| Win32.FakeAlert.ttam und Win32.Palevo mit Spybot Osam Zitat:
Mbrcheck Zitat:
Ist das wirklich alles notwendig? So viele Programme... Bin wirklich froh, dass mir jemand dadurch hilft. Das ist für einen Laien ja gar nicht zu schaffen. Also schon mal vielen Dank. |
Themen zu Win32.FakeAlert.ttam und Win32.Palevo mit Spybot |
0x00000001, adobe, avgntflt.sys, avira, bho, cdburnerxp, converter, einstellungen, error, exe-dateien, fehlermeldung, firefox, format, google, hijacker.application, hijacker.intl, hijacker.xmllookup, hilfreich, home, host.exe, hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?ext=%s, location, logfile, mozilla, mp3, object, oldtimer, otl.exe, plug-in, port, problem, realtek, registry, safer networking, sched.exe, searchplugins, security, software, staropen, tr/crypt.xpack.ge, usb, win32-anwendung |