|
adspy gen2 und cmdow.exe Hallo, ein Gast hat sich durch I-Net geklickt und bekam später eine Meldung von Avira: Hier post von hijjack this und ani-malware: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6478 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 30.04.2011 17:30:57 mbam-log-2011-04-30 (17-30-53).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 165407 Laufzeit: 10 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\system volume information\_restore{84197849-8dd7-41fd-8be1-875764937e5c}\RP8\A0001512.exe (PUP.Tool) -> No action taken. c:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> No action taken. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6478 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 30.04.2011 17:30:57 mbam-log-2011-04-30 (17-30-53).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 165407 Laufzeit: 10 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\system volume information\_restore{84197849-8dd7-41fd-8be1-875764937e5c}\RP8\A0001512.exe (PUP.Tool) -> No action taken. c:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> No action taken. Ich hoffe ihr könnt mir noch einmal helfen:) Gruß Kola |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. |
Das war der Log davor, aber nur quickscan! Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6478 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 30.04.2011 16:54:02 mbam-log-2011-04-30 (16-54-02).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 1120 Laufzeit: 21 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
okay, hier die logs (ps: ich habe bei otl einfach die daten kopiert, eingefügt, quickscan ausgeführt, sonst nichts verändert.:) |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Gut, hier der Log: All processes killed ========== OTL ========== Prefs.js: "192.168.0.5" removed from network.proxy.backup.ftp Prefs.js: 21 removed from network.proxy.backup.ftp_port Prefs.js: "192.168.0.5" removed from network.proxy.backup.gopher Prefs.js: 21 removed from network.proxy.backup.gopher_port Prefs.js: "192.168.0.5" removed from network.proxy.backup.socks Prefs.js: 21 removed from network.proxy.backup.socks_port Prefs.js: "192.168.0.5" removed from network.proxy.backup.ssl Prefs.js: 21 removed from network.proxy.backup.ssl_port Prefs.js: "192.168.0.10" removed from network.proxy.ftp Prefs.js: 21 removed from network.proxy.ftp_port Prefs.js: "192.168.0.10" removed from network.proxy.gopher Prefs.js: 21 removed from network.proxy.gopher_port Prefs.js: "192.168.0.10" removed from network.proxy.http Prefs.js: 21 removed from network.proxy.http_port Prefs.js: true removed from network.proxy.share_proxy_settings Prefs.js: "192.168.0.10" removed from network.proxy.socks Prefs.js: 21 removed from network.proxy.socks_port Prefs.js: 4 removed from network.proxy.socks_version Prefs.js: "192.168.0.10" removed from network.proxy.ssl Prefs.js: 21 removed from network.proxy.ssl_port Prefs.js: 0 removed from network.proxy.type C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86\x86 folder moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86 folder moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} folder moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86 folder moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} folder moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 17489741 bytes ->Temporary Internet Files folder emptied: 3598969 bytes ->Java cache emptied: 731830 bytes ->FireFox cache emptied: 46425720 bytes ->Flash cache emptied: 20302 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 402 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1745533 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 16619 bytes RecycleBin emptied: 3735918923 bytes Total Files Cleaned = 3.630,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05022011_183728 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Bitte schön, hier ist Log: |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Combofix Logfile: Code: ComboFix 11-05-03.04 - Administrator 04.05.2011 14:04:34.1.1 - x86 |
Zitat:
Das ist mega riskant, da dieser Patchstand völlig veraltet ist! Ich poste später was dazu, wie du am besten auf SP3/IE8 updatest. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
GMER Logfile: Code: GMER 1.0.15.15627 - hxxp://www.gmer.net |
OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Ok. Und MBRCheck? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board