Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC Defender Plus (https://www.trojaner-board.de/128605-pc-defender-plus.html)

moelli 26.12.2012 14:42
PC Defender Plus
 
Guten Tag und frohes Fest,

hier mein Problem:
hatte PC Defender Plus auf meinem Rechner und (vielleicht ein wenig eilig...) den SypHunter4 gegen Bezahlung herunter geladen, später erst gelernt, dass diesese Programm nicht wirklich das Problem löst.

Über Euer Board habe ich mich dann informiert und erste Schritte eingeleitet, z. B. das Programm OLT über den Rechner laufen lassen.

Der Defender "poppte" dann nicht wieder auf, die Rechnergeschwindigkeit scheint aber subjektiv immer noch geringer zu sein, als vor der Infizierung.

Ich habe deshalb die drei Schritte abgearbeitet, die Log-Files sind angehängt.

Herzlichen Dank schon vorab für die Prüfung, ob nun der Rechner wieder "keimfrei" arbeitet....

Viele Grüße...
Matthias

cosinus 27.12.2012 11:18
Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Zitat:
Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

moelli 27.12.2012 11:56
Guten Tag Cosinus,

vielen Dank für die erste Antwort.

Wie ist denn der Name des LOG-Files von Malwarebytes (hatte diesen Scanner auch laufen lassen, würde die Log-Datei sicher noch finden..) oder soll ich Malwarebytes in der aktuellen Version starten und Dir dann den Log-File posten??

hier der Inhalt von spyhunter.log:
Code:
* Scanning 'Host' directory...
Fix located: /host/sda3/spyhunter.fix
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/bl
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/BrowserProtect.crx
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/BrowserProtect.dll
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/BrowserProtect.exe
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/BrowserProtect.settings
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/FirefoxExtension/chrome.manifest
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/FirefoxExtension/components/BrowserProtect-3.6.xpt
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/FirefoxExtension/content/BrowserProtect.js
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/FirefoxExtension/content/overlay.xul
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/FirefoxExtension/install.rdf
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/traking_settings/00
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/traking_settings/01
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/traking_settings/02
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/traking_settings/10
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/traking_settings/11
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/traking_settings/12
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/traking_settings/20
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/traking_settings/21
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/traking_settings/22
* ...Success 
Removing file: /host/sda3/ProgramData/BrowserProtect/2.5.1005.80/{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}/uninstall.exe
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Google/Chrome/User Data/Default/Web Data
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/0wy5AlVj.pdf.part
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/4D01683E.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/autoexec.bat.bk
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVR1DE5.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVR3949.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVR3B99.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVR4AEA.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVR803A.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVR82B7.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVR8CDE.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVR9995.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVR9F01.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/CVRC73D.tmp.cvr
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/FXSAPIDebugLogFile.txt
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/go9876.html
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/gun18F0.tmp
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/hosts.bk
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/jusched.log
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/NATT_DBG.dbg
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/PMmy3fGT.pdf.part
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/PP.log
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/SHSetup.exe
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/StructuredQuery.log
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/system.ini.bk
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/TWAIN.LOG
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/Twain001.Mtx
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/Twunk001.MTX
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/Twunk002.MTX
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/uaIWsNEr.pdf.part
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/uninst1.exe
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/win.ini.bk
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/__PDFCORE_FMP.dat
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~D7436F.tmp
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DF204CDB9CC54C0C12.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DF22F4C5BD51265259.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DF2BDB2067BD5A055C.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DF3EB651893BF76045.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DF577D3958B9FAA952.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DF8FDB6D3560AA9C50.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DFA1254BAA7B113C7E.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DFC47F867C3A1AE9C7.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DFC4B88626616A470A.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DFC588CA642784EC35.TMP
* ...Success 
Removing file: /host/sda3/Users/Rezeption/AppData/Local/Temp/~DFDDE2F9DA1C54CBF8.TMP
* ...Success 
Finishing...
Hier der Inhalt von sh4service.log:

Code:
Header count 85
Header index(0) type (5)
RegDeleteKey (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
DeleteRegTree 2 0
Header index(1) type (4)
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
Header index(2) type (4)
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
Header index(3) type (7)
Header index(4) type (7)
Header index(5) type (7)
Header index(6) type (1)
Header index(7) type (1)
Header index(8) type (1)
Header index(9) type (1)
Header index(10) type (1)
Header index(11) type (7)
Header index(12) type (1)
Header index(13) type (7)
Header index(14) type (1)
Header index(15) type (7)
Header index(16) type (1)
Header index(17) type (1)
Header index(18) type (1)
Header index(19) type (7)
Header index(20) type (1)
Header index(21) type (1)
Header index(22) type (1)
Header index(23) type (1)
Header index(24) type (1)
Header index(25) type (1)
Header index(26) type (1)
Header index(27) type (1)
Header index(28) type (1)
Header index(29) type (1)
Header index(30) type (1)
Header index(31) type (1)
Header index(32) type (1)
Header index(33) type (1)
Header index(34) type (7)
Header index(35) type (1)
Header index(36) type (1)
Header index(37) type (1)
Header index(38) type (1)
Header index(39) type (1)
Header index(40) type (1)
Header index(41) type (1)
Header index(42) type (1)
Header index(43) type (1)
Header index(44) type (1)
Header index(45) type (1)
Header index(46) type (1)
Header index(47) type (7)
Header index(48) type (1)
Header index(49) type (7)
Header index(50) type (1)
Header index(51) type (7)
Header index(52) type (1)
Header index(53) type (7)
Header index(54) type (7)
Header index(55) type (7)
Header index(56) type (1)
Header index(57) type (7)
Header index(58) type (1)
Header index(59) type (1)
Header index(60) type (1)
Header index(61) type (1)
Header index(62) type (1)
Header index(63) type (7)
Header index(64) type (1)
Header index(65) type (1)
Header index(66) type (1)
Header index(67) type (1)
Header index(68) type (1)
Header index(69) type (1)
Header index(70) type (7)
Header index(71) type (1)
Header index(72) type (1)
Header index(73) type (1)
Header index(74) type (1)
Header index(75) type (1)
Header index(76) type (1)
Header index(77) type (1)
Header index(78) type (1)
Header index(79) type (1)
Header index(80) type (1)
Header index(81) type (1)
Header index(82) type (1)
Header index(83) type (1)
Header index(84) type (1)
There are (3) failed items. Retrying to execute them...
RegDeleteKey (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
DeleteRegTree 2 0
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteKey (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
DeleteRegTree 2 0
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteKey (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
DeleteRegTree 2 0
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteKey (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
DeleteRegTree 2 0
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteKey (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
DeleteRegTree 2 0
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteKey (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
DeleteRegTree 2 0
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 0
RegDeleteKey (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(DisplayName) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
RegDeleteValue(URL) (HKU\S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9})...(S-1-5-21-2623931298-3056901657-874365362-1000\software\microsoft\internet explorer\searchscopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}) 80000003
RegOpenKeyEx 2 1008
Executing common registry fixes..Fixing shell execute..
Done.
Schon jetzt vielen Dank für den Support....

Moelli

cosinus 27.12.2012 11:57
Zitat:
Wie ist denn der Name des LOG-Files von Malwarebytes (hatte diesen Scanner auch laufen lassen, würde die Log-Datei sicher noch finden..) oder soll ich Malwarebytes in der aktuellen Version starten und Dir dann den Log-File posten??
Ich hab dir doch extra nen fetten Artikel verlinkt, den bitte auch lesen

moelli 27.12.2012 12:24
Hallo Cosinus,

hier zwei Log-Files, der erste vom 18.12.2012:

Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.18.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Rezeption :: HOTEL-PC [limitiert]

Schutz: Aktiviert

18.12.2012 16:43:03
mbam-log-2012-12-18 (16-43-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 267820
Laufzeit: 10 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 11
HKCR\CLSID\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{44444444-4444-4444-4444-440044344491} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{55555555-5555-5555-5555-550055345591} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CrossriderApp0003491.BHO.1 (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Löschen bei Neustart.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CrossriderApp0003491.BHO (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\Software\InstalledBrowserExtensions\215 Apps|3491 (PUP.CrossFire.SA) -> Daten: Vid-Saver -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files\Vid-Saver\Vid-Saver.dll (PUP.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Und nun der zweite vom 22.12.2012:
Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.22.02

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Rezeption :: HOTEL-PC [Administrator]

Schutz: Deaktiviert

22.12.2012 13:44:16
mbam-log-2012-12-22 (13-44-16).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 263769
Laufzeit: 3 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011341191} (PUP.GamePlayLab) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Vielen Dank...
Moelli

cosinus 27.12.2012 12:47
Sind das alle Logs?
Hast du noch weitere von anderen Virenscannern?

Code:
Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
 
Computer Name: HOTEL-PC | User Name: Rezeption
 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.20.254
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3CCCACD6-6B1A-4424-9F05-8DC90627984C}: NameServer = 192.168.20.254
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9B168334-FE19-4B96-A790-E99453BFCF87}: DhcpNameServer = 192.168.20.254
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D529132C-F2CF-4363-9276-2BB860825CBF}: DhcpNameServer = 192.168.20.254
Ist es das wonach es aussieht? Ein gewerblicher Rechner?

moelli 27.12.2012 12:56
Hallo Cosinus,

wir sind ein kleines Hotel mit unter 20 Zimmern, der Chef und IT-Admin (derzeit mit mäßigem Erfolg....) bin ich, und weitere Logs habe ich nicht gefunden....

Moelli

cosinus 27.12.2012 12:59
Ja, aber bitte das hier beachten => http://www.trojaner-board.de/108422-...-anfragen.html

V.a. den letzten Satz unten im Kasten

Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

moelli 27.12.2012 13:08
Hallo Cosinus,

den Link habe ich verfolgt und kann ich auch verstehen.
Frage 1: bin ich nun ein Ausnahme oder wo stehen wir?
Frage 2: kann nicht auch die Analyse der Logfiles oder eine erneutes, strukturiertes Abarbeiten von Scans eine Formatierung verhindern??

Moelli

cosinus 27.12.2012 13:14
Ich hab extra auf den letzten Satz im Kasten verwiesen und du gehst da kein Stück drauf ein, ist dir das egal, dass Kundendaten durch die Logs oder durch deinen kompromittierten Rechner in die Öffentlichkeit bzw. in falsche Hände geraten können? :balla:

moelli 27.12.2012 16:47
super, danke...wie kann ich den Thread schließen???

cosinus 27.12.2012 21:18
Edit, sry, war nicht bei ganz bei der Sache.
Threads schließen wir nicht, außer dir und anderen Helfern kann hier eh keiner posten.

moelli 27.12.2012 21:34
alles ok, Rechner ist vom Netz, geht nächste Woche zu Experten zum Scannen


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131