Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows-Recovery - Auswertung Malwarebytes' log-file (https://www.trojaner-board.de/97886-windows-recovery-auswertung-malwarebytes-log-file.html)

Adjmal 22.04.2011 10:06
Windows-Recovery - Auswertung Malwarebytes' log-file
 
Hallo liebe Community,

gestern Abend habe ich mir beim surfen Windows-Recovery eingefangen. Daraufhin habe ich die fertige Anleitung zu dessen Entfernung befolgt, d.h. erst rkill.com installiert und ausgeführt und anschließend einen vollständigen Systemscan mit einer aktualisierten Version von Malwarebytes Anti-Malware durchgeführt. Das log-file folgt unten. Ich bin ein bisschen irritiert davon, dass bei allen Einträgen "no action taken" steht, obwohl ich nach Ende des Scans "Ausgewähltes entfernen" geklickt habe. Ich finde z.B. im Explorer auch noch ein Symbol in c:\programdata\40754952 (ohne dateiendung *.exe).
Wie kann ich sichergehen, dass der Trojaner vollständig entfernt wurde, bzw. welche weiteren Schritte sollte ich unternehmen? In meinem Browser (Mozilla Firefox) habe ich viele Benutzernamen und Passwörter für Foren u.ä., aber auch Email-accounts gespeichert. Sollte ich in Erwägung ziehen diese zu ändern?

Vielen Dank im Voraus,
Adjmal.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6415

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

22.04.2011 09:27:31
mbam-log-2011-04-22 (09-27-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 580548
Laufzeit: 2 Stunde(n), 24 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uvEWQXCeAJwf (Trojan.FakeAlert) -> Value: uvEWQXCeAJwf -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\uvewqxceajwf.exe (Trojan.FakeAlert) -> No action taken.
c:\Build.exe (RiskWare.Tool.CK) -> No action taken.
c:\programdata\40754952.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\****\AppData\Local\Temp\jar_cache5074184941066849768.tmp (Trojan.FakeAlert) -> No action taken.
c:\Users\****\AppData\Roaming\thinstall\matlab r2007b\40000018500003i\dynare_m.exe (Rootkit.Dropper) -> No action taken.
c:\Users\****\AppData\Roaming\thinstall\matlab r2007b\400000eb00002i\MATLAB.exe (Rootkit.Dropper) -> No action taken.
c:\Users\****\AppData\Roaming\thinstall\matlab r2007b\4ad000005000003i\cmd.exe (Rootkit.Dropper) -> No action taken.
c:\Users\****\Desktop\null0.12549485124285253.exe (Trojan.FakeAlert) -> No action taken.

cosinus 22.04.2011 13:46
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Adjmal 22.04.2011 14:53
Danke für die schnelle Antwort. Ich poste ein zip-Archiv mit allen Log-files. Das nächst-ältere ist allerdings von 2009, aber egal.

cosinus 23.04.2011 14:02
Zitat:
c:\Build.exe (RiskWare.Tool.CK)
Was soll das hier sein?

Adjmal 23.04.2011 14:35
Ich habe gerade nach der Datei gesucht und sie nicht gefunden. Auch dann nicht, wenn ich versteckte und geschützte Systemdateien anzeigen lasse. Ich kann auch nicht sagen, ob die Datei von einem absichtlich installierten Programm stammte.
Ich habe seit dem Virenscan drei Programme deinstalliert, möglicherweise gehörte sie zu einem von diesen.

Kann ich davon ausgehen, dass sie gelöscht wurde, wenn ich sie nicht mehr finde? Oder könnte sie sich selbst umbenannt haben?

cosinus 23.04.2011 15:53
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Adjmal 23.04.2011 16:38
Bitte sehr, ich hoffe es hilft weiter.
Besten Gruß,
Adjmal.

cosinus 25.04.2011 13:26
Bitte ZoneAlarm deinstallieren, das Teil ist kontraproduktiv. Verwende die Windows-Firewall.
Mach nach der Deinstallation bitte neue OTL-Logs.

Adjmal 26.04.2011 11:16
Hier die log-files nach Deinstallation von ZoneAlarm.

cosinus 26.04.2011 12:41
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
[2011.04.26 12:07:21 | 000,000,000 | ---D | C] -- C:\Windows\Internet Logs
:Files
C:\Windows\tasks\At*.job
C:\ProgramData\4*
C:\ProgramData\~*
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Adjmal 26.04.2011 13:37
Ich war mir nicht ganz sicher wo ich den Code einfügen sollte, da ich ihn nicht direkt in das Fenster in der unteren Bildschirmhälfte kopieren konnte. Habe zunächst einfach so auf Fix geklickt, in der Hoffnung es werde sich noch ein Dialogfenster öffnen. Nach dem Neustart habe ich es dann nocheinmal wie beschrieben durchgeführt.

cosinus 26.04.2011 13:49
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Adjmal 26.04.2011 14:10
Ich habe bereits alle Dateien manuell wieder "unversteckt". Die log-Datei folgt gleich.

Adjmal 26.04.2011 14:23
Bitte sehr.

cosinus 26.04.2011 14:40
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Adjmal 26.04.2011 14:48
Die Logs folgen heute gegen 19:00 Uhr.

Adjmal 26.04.2011 18:41
Combo-Fix hat etwas länger gebraucht als erwartet, hier die log-Datei:


Combofix Logfile:
Code:
ComboFix 11-04-25.03 - Adjmal 26.04.2011  18:55:55.2.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.3070.2027 [GMT 2:00]
ausgeführt von:: c:\users\Adjmal\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Adjmal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery
c:\users\Adjmal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery\Uninstall Windows Recovery.lnk
c:\users\Adjmal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Recovery\Windows Recovery.lnk
c:\windows\system32\midas.dll
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-03-26 bis 2011-04-26  ))))))))))))))))))))))))))))))
.
.
2011-04-26 17:22 . 2011-04-26 17:22        --------        d-----w-        c:\users\Adjmal\AppData\Local\temp
2011-04-26 17:22 . 2011-04-26 17:22        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-04-26 16:37 . 2011-04-26 16:37        --------        d-----w-        c:\program files\CCleaner
2011-04-26 13:14 . 2011-04-26 13:14        --------        d-----w-        c:\windows\Internet Logs
2011-04-26 12:26 . 2011-04-26 12:26        --------        d-----w-        C:\_OTL
2011-04-22 11:29 . 2011-04-18 07:15        7071056        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{5F634599-3E5F-4DDD-8BC2-653683590A67}\mpengine.dll
2011-04-22 11:26 . 2011-02-18 14:03        305152        ----a-w-        c:\windows\system32\drivers\srv.sys
2011-04-22 11:25 . 2010-08-26 16:34        1696256        ----a-w-        c:\windows\system32\gameux.dll
2011-04-22 11:24 . 2010-10-19 04:27        7680        ----a-w-        c:\program files\Internet Explorer\iecompat.dll
2011-04-22 11:24 . 2010-12-14 14:49        1169408        ----a-w-        c:\windows\system32\sdclt.exe
2011-04-22 11:24 . 2011-03-03 10:50        2409784        ----a-w-        c:\program files\Windows Mail\OESpamFilter.dat
2011-04-22 11:24 . 2011-03-02 15:44        86528        ----a-w-        c:\windows\system32\dnsrslvr.dll
2011-04-22 11:24 . 2009-05-04 09:59        25088        ----a-w-        c:\windows\system32\dnscacheugc.exe
2011-04-22 11:20 . 2010-12-17 15:45        2067968        ----a-w-        c:\windows\system32\mstscax.dll
2011-04-22 11:20 . 2010-12-17 13:54        677888        ----a-w-        c:\windows\system32\mstsc.exe
2011-04-21 21:24 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-21 21:24 . 2011-04-22 07:27        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2011-04-21 21:24 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-04-14 17:06 . 2011-04-14 17:06        681980        ----a-w-        c:\windows\unins000.exe
2011-04-13 22:17 . 2011-04-13 22:17        --------        d-----w-        c:\program files\WinSCP
2011-03-31 09:36 . 2005-04-03 21:02        69714        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\ctor.dll
2011-03-31 09:36 . 2005-04-03 21:01        274432        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iscript.dll
2011-03-31 09:36 . 2005-04-03 21:00        184320        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iuser.dll
2011-03-31 09:36 . 2005-04-03 20:59        5632        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2011-03-31 09:36 . 2011-03-31 09:36        331908        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\setup.dll
2011-03-31 09:36 . 2011-03-31 09:36        200836        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iGdi.dll
2011-03-31 09:36 . 2005-04-03 21:02        753664        ----a-w-        c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\iKernel.dll
2011-03-31 09:36 . 2011-03-31 09:47        --------        d-----w-        c:\users\Adjmal\AppData\Local\Oblivion
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-26 13:05 . 2008-03-27 04:23        45056        ----a-w-        c:\windows\system32\acovcnt.exe
2011-02-18 15:28 . 2010-08-03 15:27        46592        ----a-w-        c:\windows\system32\vsutil_loc0407.dll
2011-02-02 16:11 . 2010-03-03 19:34        222080        ------w-        c:\windows\system32\MpSigStub.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Adjmal\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Adjmal\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Adjmal\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2010-10-06 23:36        94208        ----a-w-        c:\users\Adjmal\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-10-24 178712]
"IaNvSrv"="c:\program files\Intel\Intel Matrix Storage Manager\OROM\IaNvSrv\IaNvSrv.exe" [2007-10-24 33304]
"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"PowerForPhone"="c:\program files\P4P\P4P.exe" [2007-07-19 778240]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-02 857648]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-10-26 1458176]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-472831092-3239663077-2024563750-1000]
"EnableNotificationsRef"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 BthAvrcp;Bluetooth-AVRCP-Profil;c:\windows\system32\DRIVERS\BthAvrcp.sys [2008-03-27 12800]
R3 netr73;Belkin Wireless 54G USB Network Adapter Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2010-12-26 464384]
R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2008-01-19 21504]
R3 PTV337.X86;Mini DigitalTV USB, Service X86;c:\windows\system32\DRIVERS\PTV337.X86.SYS [2007-01-26 197120]
R3 RTL8192su;%RTL8192su.DeviceDesc.DispName%;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-01-06 528896]
R3 UXDCMN;UXDCMN;f:\winstress\UXDCMN.SYS [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\DRIVERS\iaNvStor.sys [2007-10-02 220696]
S0 lullaby;lullaby;c:\windows\system32\DRIVERS\lullaby.sys [2007-09-26 15416]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-09-15 717296]
S1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\System32\drivers\psd.sys [2007-01-23 39080]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\l160x86.sys [2007-10-31 46592]
S3 DCamUSBET;USB2.0 1.3M UVC WebCam;c:\windows\system32\DRIVERS\etDevice.sys [2007-09-06 474624]
S3 FiltUSBET;ET USB Device Lower Filter;c:\windows\system32\DRIVERS\etFilter.sys [2007-10-15 206336]
S3 NETw5v32;Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows Vista 32-Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2010-05-31 6638080]
S3 ScanUSBET;ET USB Still Image Capture Device;c:\windows\system32\DRIVERS\etScan.sys [2007-09-06 6656]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs        REG_MULTI_SZ          BthServ
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
nosGetPlusHelper        REG_MULTI_SZ          nosGetPlusHelper
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 10:47        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-26 c:\windows\Tasks\Security Platform Backup Schedule.job
- c:\program files\Infineon\Security Platform Software\SpBackupWz.exe [2007-02-22 14:25]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.asus.com
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {FFF563BE-96A9-48D1-AC7F-7AD798F076DA} = 141.2.22.74,141.2.149.10
FF - ProfilePath - c:\users\Adjmal\AppData\Roaming\Mozilla\Firefox\Profiles\xp51cri5.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: DownThemAll!: {DDC359D1-844A-42a7-9AA1-88A850A938A8} - %profile%\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-F5D7050v3 - c:\program files\Belkin\F5D7050v3\Belkinwcui.exe
AddRemove-uTorrent - c:\programme\uTorrent\uTorrent.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-26 19:22
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-472831092-3239663077-2024563750-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:88,43,1e,33,81,e0,da,ad,d5,7e,9d,fe,0c,2a,31,1d,c6,2a,a3,1d,27,e4,1e,
  69,90,33,49,a4,a1,a8,40,71,2f,93,a6,8b,12,4e,20,3c,b7,ca,19,05,48,88,b0,e4,\
"??"=hex:98,c2,0e,3d,28,ee,3a,ec,c7,4c,ae,29,82,08,f2,32
.
[HKEY_USERS\S-1-5-21-472831092-3239663077-2024563750-1000\Software\SecuROM\License information*]
"datasecu"=hex:f2,a5,d3,ae,0d,62,e3,25,c2,65,5f,10,81,6b,c5,ec,5e,60,b1,22,d1,
  25,22,d0,af,d3,f6,05,02,93,4f,c1,ee,dd,86,d1,96,67,27,84,a5,66,e3,f6,bb,56,\
"rkeysecu"=hex:47,bf,b1,7e,1a,6f,67,49,31,fe,78,19,fb,32,64,fc
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:00000042
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{0f385822-16d4-4f33-aa5e-cdc8140f9354}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:4f000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{1e55942e-3cfe-47b8-8d67-7612b849ef76}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:4c000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{2b53cafa-eaa2-4158-88ed-a071f166f873}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:52000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{2c59ae3a-1a65-4182-af62-f1591bced283}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:42000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{2fc8346d-2c20-4f1c-9a7d-eb9fa3e622ec}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:10001de0
"Dhcpv6State"=dword:00000000
"NameServer"=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{43348fe0-a7b3-4d78-a84a-93785fa6b03b}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:48000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{4a997ef6-c959-4f10-bd16-d63d5725c385}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0d001fc6
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{52653b22-3d52-4987-a360-225107ab45ad}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:110018f3
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{567e355e-b591-4df3-957e-b32e580b5c47}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:4f000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{584f5d9a-8770-420e-bc90-db7674e51d11}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:54000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{906bb0d9-1d8d-4c49-ae6d-f2041148da72}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:4a000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{a4b76af8-ad50-4f4a-9c2f-68fa2743c2d2}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:2e020054
"Dhcpv6State"=dword:00000000
"NameServer"=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{a7dbe194-5abf-428c-861f-ff382a0b3b1d}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:53000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{b1990ff7-f0d2-4ba5-9073-0a28c8813ad6}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:09001fc6
"Dhcpv6State"=dword:00000000
"NameServer"=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{bff69559-80f6-4949-9db8-29b3b5f41d25}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:4c001de0
"Dhcpv6State"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{c991291e-5b9a-4cd0-8873-ee154e7d7e45}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c0018f3
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ee1085d6-3184-480e-a56b-e57765ff9926}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:43000000
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
.
Zeit der Fertigstellung: 2011-04-26  19:26:42
ComboFix-quarantined-files.txt  2011-04-26 17:26
.
Vor Suchlauf: 17 Verzeichnis(se), 45.292.052.480 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 45.505.036.288 Bytes frei
.
- - End Of File - - 4675EC30AD11CFE9E60B27DA4AB42C9C
--- --- ---

cosinus 26.04.2011 19:10
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Adjmal 27.04.2011 09:10
GMER hat etwas gedauert, aber hier sind die Logs.

cosinus 27.04.2011 10:53
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Adjmal 27.04.2011 19:20
erstens:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6458

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

27.04.2011 20:17:49
mbam-log-2011-04-27 (20-17-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 573472
Laufzeit: 2 Stunde(n), 41 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Adjmal 28.04.2011 07:07
Zweitens:


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/28/2011 at 04:05 AM

Application Version : 4.51.1000

Core Rules Database Version : 6941
Trace Rules Database Version: 4753

Scan type : Complete Scan
Total Scan Time : 02:46:06

Memory items scanned : 670
Memory threats detected : 0
Registry items scanned : 9282
Registry threats detected : 5
File items scanned : 398758
File threats detected : 0

Rogue.Component/Trace
HKLM\Software\Microsoft\E6BEE8D7
HKLM\Software\Microsoft\E6BEE8D7#e6bee8d7
HKLM\Software\Microsoft\E6BEE8D7#Version
HKLM\Software\Microsoft\E6BEE8D7#e6be4557
HKLM\Software\Microsoft\E6BEE8D7#e6be2cb2

cosinus 28.04.2011 15:00
Nur Überreste. Noch Probleme?

Adjmal 28.04.2011 15:53
Nein, mir fällt nichts mehr auf. Ich werde die Virenscanner entfernen und wieder meine gewohnte Firewall installieren.

Besten Dank für die professionelle Hilfe.

cosinus 28.04.2011 16:03
Zitat:
gewohnte Firewall installieren.
Was willst du da installieren?

Adjmal 28.04.2011 16:39
Na ZoneAlarm. Ich sollte sie deinstallieren, jetzt installiere ich sie wieder. Das ist doch nicht problematisch, oder?

cosinus 28.04.2011 18:46
Du solltest doch auf diesen ZoneAlarm-Müll verzichten. Bleib bei der Windows-Firewall!

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131