malwarebytes log

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6662

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.05.2011 17:36:47
mbam-log-2011-05-24 (17-36-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 218968
Laufzeit: 2 Stunde(n), 25 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

superpyware log

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/24/2011 at 08:07 PM

Application Version : 4.52.1000

Core Rules Database Version : 7126
Trace Rules Database Version: 4938

Scan type       : Complete Scan
Total Scan Time : 02:10:12

Memory items scanned      : 426
Memory threats detected   : 0
Registry items scanned    : 13532
Registry threats detected : 0
File items scanned        : 18059
File threats detected     : 55

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad3.adfarm1.adition[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.dyntracker[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@mediaplex[3].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@adxpose[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@traffictrack[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@imrworldwide[3].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@adfarm1.adition[3].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@fastclick[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@zanox[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@serving-sys[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@mediabrandsww[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@webmasterplan[3].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@invitemedia[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@doubleclick[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@tracking.mlsat02[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.zanox[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@apmebf[3].txt
	ia.media-imdb.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\AVA954AJ ]
	earlyexperience.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyCasino\cookies.txt ]
	.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	earlyexperience.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	ad.yieldmanager.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	secure.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	secure.partyaccount.com [ C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Mozilla-Cache\Party\PartyPoker\cookies.txt ]
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@tracking.mlsat02[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@mediaplex[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad3.adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@zanox[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.yieldmanager[3].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@doubleclick[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@webmasterplan[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@adxpose[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.yieldmanager[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@revsci[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@petfinder[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@traffictrack[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@zanox-affiliate[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@apmebf[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ru4[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@content.yieldmanager[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@invitemedia[1].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@adfarm1.adition[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.dyntracker[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@fastclick[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@ad.zanox[2].txt
	C:\Dokumente und Einstellungen\Smithee\Cookies\smithee@imrworldwide[2].txt

Trojan.Agent/Gen-Nullo[Short]
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{C9985CFF-74C4-4630-A132-265978ABBB94}\RP135\A0021365.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{C9985CFF-74C4-4630-A132-265978ABBB94}\RP135\A0021366.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{C9985CFF-74C4-4630-A132-265978ABBB94}\RP135\A0021367.DLL
         

eset log kommt morgen

gn8

Ok. Bislang nur Cookies und Überreste in der Systemwiederherstellung (wenn das keine Fehlalarme sind)

eset log

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=39d95f24458c4e469a745675cd94fbb3
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-24 08:05:15
# local_time=2011-05-24 10:05:15 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 94 117363 71743809 164387 0
# compatibility_mode=8192 67108863 100 0 358 358 0 0
# scanned=19248
# found=3
# cleaned=0
# scan_time=5504
C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\3cc664c-27073102	Java/Exploit.CVE-2010-4452.A trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\1836d75a-1820c2c2	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Programme\Application Updater\ApplicationUpdater.exe	probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=39d95f24458c4e469a745675cd94fbb3
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-25 02:35:56
# local_time=2011-05-25 04:35:56 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775141 100 94 167600 71794046 214624 0
# compatibility_mode=8192 67108863 100 0 50595 50595 0 0
# scanned=70058
# found=13
# cleaned=0
# scan_time=21908
C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\3cc664c-27073102	Java/Exploit.CVE-2010-4452.A trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Smithee\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\1836d75a-1820c2c2	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Programme\Application Updater\ApplicationUpdater.exe	probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe	a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017379.rbf	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017382.rbf	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017384.rbf	probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017392.old	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017393.old	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP119\A0017395.old	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\System Volume Information\_restore{C9985CFF-74C4-4630-A132-265978ABBB94}\RP136\A0022498.sys	Win32/Olmasco.E trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\05232011_201439\C_Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll	a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
${Memory}	probably a variant of Win32/Adware.Toolbar.Dealio application	00000000000000000000000000000000	I
         

Ein paar Überreste.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Rechner ansonsten wieder ok?

Er braucht jetzt aber sehr lange (deutlich länger als vorher) zum hochfahren.

Und wie lange ist deutlich länger? Statt Minuten nun 2 Stunden?

Handgestoppte 5m20s bis antivir und wlan icons angezeigt werden in der Taskleiste. Vorher ca. 1m30s

Außerdem kommt vor dem Windows Ladebildschirm nun eine Meldung was gestartet werden soll:

- Microsoft Windows Recovery Console
- do not select this (debugger aktiviert)
- Microsoft Windows XP Home Edition

was aber nur ca. 1s dasteht und dann startet Windows automatisch.

gn8

Das Bootmenü kommt durch CF, denn das hat die Wiederherstellungskonsole installiert und die muss man ja irgendwie auswählen können.

Zu längeren Bootzeit hab ich erstmal so keine Idee außer => http://www.trojaner-board.de/71631-p...tml#post425616

Kann man die Wiederherstellungskonsole denn wieder deinstallieren?

Problem ist auch, dass alle Verknüpfungen im Startmenü gelöscht worden sind. Alle Ordner darin sind leer auch von den Zubehör/Systemprogrammen so dass ich gar nicht die Datenträgerbereinigung starten kann. unhide.exe bringt da auch nix wieder.

Zitat:

Kann man die Wiederherstellungskonsole denn wieder deinstallieren?

boot.ini bearbeiten:

1.) Stell erstmal sicher, dass dir alle Dateien angezeigt werden => http://www.trojaner-board.de/59624-a...-sichtbar.html
2.) Klick auf Arbeitsplatz => C:\
3.) Rechtsklick auf boot.ini => Eigenschaften => Haken bei schreibgeschützt entfernen => ok
4.) Per Doppelklick die boot.ini öffnen
5.) bei Timeout die Zahl ändern, zB statt timeout=1 trägst du timeout=0 ein
5.) boot.ini abspeichern
6.) Windows neu starten
7.) Nun wird das Bootmenü für 0 Sekunden - also garnicht mehr - zu sehen sein.

Zitat:

Zitat von cosinus

Das Bootmenü kommt durch CF, denn das hat die Wiederherstellungskonsole installiert und die muss man ja irgendwie auswählen können.

Zu längeren Bootzeit hab ich erstmal so keine Idee außer => http://www.trojaner-board.de/71631-p...tml#post425616

Naja hab mal alles gemacht nach der Anleitung aber merklich schneller ist er nicht geworden. Hab das Gefühl das nun jede Menge Prozesse mehr geladen werden als vorher.

Zitat:

Zitat von cosinus

boot.ini bearbeiten:

1.) Stell erstmal sicher, dass dir alle Dateien angezeigt werden => http://www.trojaner-board.de/59624-a...-sichtbar.html
2.) Klick auf Arbeitsplatz => C:\
3.) Rechtsklick auf boot.ini => Eigenschaften => Haken bei schreibgeschützt entfernen => ok
4.) Per Doppelklick die boot.ini öffnen
5.) bei Timeout die Zahl ändern, zB statt timeout=1 trägst du timeout=0 ein
5.) boot.ini abspeichern
6.) Windows neu starten
7.) Nun wird das Bootmenü für 0 Sekunden - also garnicht mehr - zu sehen sein.

Klappt.

Alles in allem ein großes

Bleibt noch das Problem mit der leeren Startleiste.

Zitat:

Bleibt noch das Problem mit der leeren Startleiste.

Durch die Infektion wurde dein Startmenü leergefegt, bei mir bisher bekannten Varianten verschiebt der Schädling alle Verknüpfungen nach %tmp%\smtmp

Eigentlich sollte unhide die Verküpfungen selbst zurück an die richtige Stelle kopieren. Wenn nicht, mach es selbst.

Deine Verknüpfungen sollten jetzt hier sein:

C:\Dokumente und Einstellungen\[DEIN_NAME]\Lokale Einstellungen\Temp

Sie müssen passend nach

C:\Dokumente und Einstellungen\All Users\Startmenü

kopiert werden.

Habe jetzt festgestellt, dass kein Sound mehr abgespielt wird. In der Systemsteuerung wird jedenfalls kein Fehler angezeigt.

Seit wann ist der Sound weg? Oder weißt du es nicht, weil es eben erst aufgefallen ist?
Was ist mit dem Startmenü?