Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Mülltonne (https://www.trojaner-board.de/muelltonne/)
-   -   Bitte um Logfile Auswertung (Malewarebytes´ Fund) (https://www.trojaner-board.de/68158-bitte-um-logfile-auswertung-malewarebytes-fund.html)

TrackerDog 06.01.2009 22:49

Bitte um Logfile Auswertung (Malewarebytes´ Fund)
 
Seid gegrüßt!


Ich hab die letzten paar Wochen meinen Rechner mal näher unter die Lupe genommen und mich um aktuellen Schutz etc. gekümmert. Alleine komm ich jetzt nicht weiter, deshalb bitte ich euch Profis mal um Rat. Schonmal im Vorraus ein dickes Danke für eure Hilfe! Und zwar hat Malewarebytes Anti-Maleware als einziges meiner Programme einen 3er Fund gemacht.

Hier der Logfile:

Code:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1602
Windows 5.1.2600 Service Pack 3

06.01.2009 22:05:30
mbam-log-2009-01-06 (22-05-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 175225
Laufzeit: 1 hour(s), 28 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\System Volume Information\_restore{8C2836AC-9FC8-4A4F-99BB-89B35AD30EBB}\RP1223\A0185543.exe (Trojan.Downloader) -> No action taken.

Ich hab jetzt erstmal noch nichts gelöscht weil ich Angst hatte was "kaputt" zu machen. Muss ich wenn dann auch im abgesicherten Modus machen, oder?

hier noch der HiJackThis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:30:37, on 06.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
E:\Programme\Internet\Sygate Firewall\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Internet\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Internet\Norten AntiBot\agent\Bin\NABAgent.exe
E:\Programme\Internet\a-squared Anti-Dialer\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
E:\Programme\Internet\AntiVir\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Internet\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Internet\Registry Mechanic\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Internet\Norten AntiBot\agent\Bin\NABWatcher.exe
E:\Programme\Internet\ThreatFire\TFService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Programme\Internet\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Internet\ThreatFire\TFTray.exe
E:\Programme\Internet\Norten AntiBot\agent\bin\NortonAntiBot.exe
E:\Programme\Internet\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\LVCOMSX.EXE
E:\Programme\Internet\Norten AntiBot\agent\bin\NABMonitor.exe
E:\Programme\Internet\Spybot\TeaTimer.exe
E:\Programme\Anderes\Logitech\SetPoint\SetPoint.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
E:\Programme\Anderes\Mousometer\mousometer.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
E:\Programme\Internet\ICQ6\ICQ.exe
E:\Programme\Internet\Malwarebytes' Anti-Malware\mbam.exe
E:\Programme\Internet\Firefox\firefox.exe
E:\Programme\Player\Winamp\Winamp.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
E:\Programme\Internet\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - E:\Programme\Internet\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Anderes\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Internet\AntiVir\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ThreatFire] E:\Programme\Internet\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [NortonAntiBot] "E:\Programme\Internet\Norten AntiBot\agent\bin\NortonAntiBot.exe"
O4 - HKLM\..\Run: [a-squared] "E:\Programme\Internet\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "E:\Programme\Internet\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Internet\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Internet\Spybot\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Mousometer.lnk = E:\Programme\Anderes\Mousometer\mousometer.exe
O4 - Global Startup: Logitech SetPoint.lnk = E:\Programme\Anderes\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &Download by Orbit - res://E:\Programme\Internet\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://E:\Programme\Internet\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Do&wnload selected by Orbit - res://E:\Programme\Internet\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://E:\Programme\Internet\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\Internet\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\Internet\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Partypoker\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Partypoker\PartyPokerNet\RunPF.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {78FC337F-6AEB-4CFE-8380-8A7CAD915CCC} - E:\Programme\Anderes\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {78FC337F-6AEB-4CFE-8380-8A7CAD915CCC} - E:\Programme\Anderes\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/040b51522d7e6941c618/netzip/RdxIE601_de.cab
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - E:\Programme\Internet\a-squared Anti-Dialer\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Internet\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programme\Internet\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - E:\Programme\Internet\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - E:\Programme\Internet\Registry Mechanic\SbieSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Programme\Internet\Sygate Firewall\smc.exe
O23 - Service: SymantecAntiBotAgent - Symantec - E:\Programme\Internet\Norten AntiBot\agent\Bin\NABAgent.exe
O23 - Service: SymantecAntiBotWatcher - Symantec - E:\Programme\Internet\Norten AntiBot\agent\Bin\NABWatcher.exe
O23 - Service: ThreatFire - PC Tools - E:\Programme\Internet\ThreatFire\TFService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 8773 bytes

Hier noch eine Liste meiner Anti-Viren Programme, für den Fall das sie sich gegenseitig stören oder so!? :

-AntiVir
-AdAware
-Spybot Search&Destroy
-Malewarebytes´
-Norton Antibot
-Threatfire
-a-squared Anti-Dialer
-Sargui (Rookit-Scanner)
-Sygate Firewall

Ist das schon zu viel des Guten? Doppeltes?


Danke und schöne Grüße,

Lukas

Shadow_1990 07.01.2009 04:36

Generell sind mehr als 1 Viren Programm zu viele!
Es kann sein das sie sich gegenseitig behindern oder sogar blocken.

Wie du schon wargenommen hast, sind diese Dateien infiziert:

Code:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
E:\System Volume Information\_restore{8C2836AC-9FC8-4A4F-99BB-89B35AD30EBB}\RP1223\A0185543.exe (Trojan.Downloader) -> No action taken.

Allerdings sollte dir hier noch ein erfahrener User Rat geben!

Viel Glück!

grEeTZ
Shadow_1990

TrackerDog 07.01.2009 20:46

Also muss ich meine Programme etwas reduzieren? Eigentlich decken sie doch alle bestimmte Sparten ab, oder?

Angenommen ich lösche die 2 Einträge in der Registry, dann sind sie nach einem Neustart wieder da? Oder vertue ich mich da grad mit etwas anderem?

Danke und schöne Grüße,

Lukas

Shadow_1990 08.01.2009 12:13

Hallo,
Deine LogFile zeigt keinerlei anzeichen einer Infizierung auf einen Trojaner etc.

Wie Malwares schon befunden hat, sind dennoch 3 Dateien zumindest verdächtig.
Also: Lasse das Programm nochmal durchlaufen und lasse das Programm die Dateien im Anschluss einfach löschen. Damit sollte das Problem behoben sein.

Zu den vielen Programmen:
Die meisten deiner Programme sind zwar keine Firewalls oder so, aber im Falle einer Infizierung durch einen Trojaner oder ähnliches, können so viele Schädlingsbekämpfungs Programme sich gegenseitig in der Suche behindern und das Ergebniss verfälschen. Also rate ich dir nur einen Universalschutz zu installieren. Kaspersky, Norton oder ähnliches sind zu empfehlen.

Viel Erfolg!

TrackerDog 11.01.2009 19:06

Hallo,

hab die 3 verdächtigen Dateien jetzt wie von dir beschrieben gelöscht.
Gestern viel mir dann auf das beim Runterfahren immer eine Fehlermeldung kommt:

avguard.exe - Fehler in Anwendung

Leider bin ich mir nicht sicher ob die Fehlermeldung schon vor dem löschen der Dateien da war, da sie nach ca. 3 Sekunden von alleine wieder verschwindet!
Kann es damit zusammen hängen?

Danke und schöne Grüße,

Lukas


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131