| |
| |||||||
Log-Analyse und Auswertung: hjacklog/virustotal log - immernoch problemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
23.09.2008, 22:26
| #1 | |||
 |  hjacklog/virustotal log - immernoch problem hallo will auf keinen ärger stoßen, aber ich sehe mich gezwungen nochmal einen thread aufzumachen, mein erster ist in der mülltonne gelandet obwohl das problem nicht gelöst war, ich denk mal das hängt damit zusammen dass ich verwarnt wurde weil ich vergessen habe die systemdaten nach regel 5 zu posten deswegen folgen nach diesem langen zitat weitere angabem, sowie der noch ausstehende bericht des virustotalscans, der mir als erste maßnahme empfohlen wurde hier also nochmal mein problem! Zitat:
weitere angaben 5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu Betriebssystem : Windows Xp Home Edition wortgetreue Wiedergabe von Fehlermeldungen: leider keine Fehlermeldungen nur Symptome die mich auf einen Virus/Spyware schließen lassen d.h. --> langsames surfen im internetexplorer / mozilla firefox --> sehr oft about blank seiten, nach öffnen einer internetseite die auf anderen pc's einwandfrei funktioniert --> beim klicken einer URL wird man sehr oft auf völlig andere seiten weitergeleitet --> in der navigationsleiste steht oft lightask.com auch wenn man dies nirgendswo eingegeben hat und unbekannt ist, wenn diese lightask.com erscheint kann man sich sicher sein dass man auf ein about blank stossen wird mehr angaben kann ich leider als laie nicht machen! ___________________________ so hier der bericht von virustotal hat auch fleißig was gefunden! Zitat:
danke fürs erneute drüberschauen, ich wusste leider auch nicht wie ich den bericht besser posten kann, weil da ja eine tabelle drinsteckt, gegenenfalls kann ich den bericht auch als word dokument nochmal hochladen entscheidend ist ja aber bestimmt Zitat:
kann mir jetzt vielleicht jemand im nächsten schritt erklären was ich damit mache welches virenprogramm ich draufhetze usw. ps: ich hab tinyproxy mal über den taskmanager geschlossen .. folge war, internet total ausfall an diesem einen pc, alle anderen pc's können noch ins internet.. hoffe das war jetzt nicht doof  naja pc ist aus ich warte auf weiter lösungsvorschläge die ich dann 1 zu 1 umsetze =) unendlichen dank fliege!! =) Geändert von badfliege (23.09.2008 um 22:42 Uhr) |
|
23.09.2008, 23:33
| #2 |
 | hjacklog/virustotal log - immernoch problem Moin,
__________________Wieso ist noch kein SP3 bei dir Installiert? Sollten wir bereinigen, anschließend (nach bereinigung) nachholen! Code:
ATTFilter Symantec 10 2008.09.23 Backdoor.Trojan
Hört sich nicht gut an, auch wenn die Meldung von Symantec kommt.... Mach mal folgendes: 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Führe dieses MBR-Tool aus und poste die Ausgabe 3.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 4.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
|
24.09.2008, 16:07
| #3 |
| | hjacklog/virustotal log - immernoch problem ......................
__________________Geändert von badfliege (24.09.2008 um 16:12 Uhr) Grund: mist doppelt gepostet -.- |
|
24.09.2008, 16:10
| #4 | ||||
| | hjacklog/virustotal log - immernoch problem hallo, ich bins nochmal zu der Frage wieso kein SP3 installiert ist, meine Schwester hat wirklich keine Ahnung von Computern! Wenn ich den Virus los bin dank eurer Hilfe kannst du dich drauf verlassen, dass ich ihr ein ordentliches Antivirenprogramm und das SP3 draufmache. Meinst du denn es besteht die Chance den Virus da wegzubekommen? .. deine reaktion auf die Symantec Meldung war ja alles andere als optimistisch.. Zitat:
Zitat:
Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Zitat:
Code:
ATTFilter 09/24/08 16:41:03 [Info]: BlackLight Engine 1.0.70 initialized
09/24/08 16:41:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/24/08 16:41:03 [Note]: 7019 4
09/24/08 16:41:03 [Note]: 7005 0
09/24/08 16:41:08 [Note]: 7006 0
09/24/08 16:41:08 [Note]: 7011 1308
09/24/08 16:41:08 [Note]: 7035 0
09/24/08 16:41:08 [Note]: 7026 0
09/24/08 16:41:08 [Note]: 7026 0
09/24/08 16:41:12 [Note]: FSRAW library version 1.7.1024
09/24/08 16:53:25 [Note]: 7007 0
beim Update kam eine Fehlermeldung, dass ein Update nicht möglich ist, ich solle prüfen ob die Firewall alles zulässt usw. jedoch hat meine Schwester auch keine Firewall, selbst die Windows Firewall ist deaktiviert hier der logfile.. Code:
ATTFilter Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1127
Windows 5.1.2600 Service Pack 2
24.09.2008 16:59:43
mbam-log-2008-09-24 (16-59-38).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44038
Laufzeit: 3 minute(s), 56 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
Zitat:
 http://www.file-upload.net/download-...sting.txt.html Combo Fix ist das letzte was ich in Angriff nehmen wollte, weil es so bedrohlich rot geschrieben ist :S aber wenn ich mich an deine anweisungen halte klappt das bestimmt danke für deine mühen julian |
|
24.09.2008, 17:05
| #5 | ||||
| | hjacklog/virustotal log - immernoch problemZitat:
Zitat:
Zitat:
Ohne aktuelle Datenbank ist es sinnlos einen Scan zu machen! Zitat:
Führe bitte Combofix aus und versuche dannach Malwarebytes zu Updaten..... Sollte das gelingen, bitte einen FULL Scan und Log Posten! Aber wäre es mein Rechner, würde ich Neuaufsetzen! Wäre mir nach dem Befall viel zu unsicher! |
|
24.09.2008, 17:17
| #6 |
| | hjacklog/virustotal log - immernoch problem das ist mir auch klar, ich habs meiner schwester diesmal aber wirklich zu verstehen gegeben dass sie vorsichtiger sein MUSS und erwachsener mit dem Inet umgehen muss... ich hab noch nie einen virus gehabt, jedenfalls keinen bemerkbaren, wenn man nur ein bisschen aufpasst kommt man doch auch ohne gut klar =) Was hat der Virus denn eventuell schon angestellt? :S Wenn der Virus weg ist, müsste doch alles ok sein oder? was können den mögliche folgen sein? das es ohne aktuelle datenbank sinnlos ist war mir auch klar, deshalb hab ich es ja überhaupt nur erwähnt ^^ ich versuch dann gleich combo fix laufen zu lassen und dann nochmal das update zu machen und mach dann auch den full scan achso und was Neuaufsetzen angeht, das hatte ich eh vor, ich wollte nur vorher auch mal was lernen dass ich nicht immer hier hingerannt kommen muss und vielleicht auch mal irgendwem helfen kann beim Neuaufsetzen halt ich mich dann auch an deine anleitung ! so ich mach in 30 mins das combo fix dingens und dann postei ch nochmalwas im nächsten schritt nennst du mir dann sicher mördervirenkillerprogramme oder? vlg julian |
|
24.09.2008, 17:31
| #7 | |||
| | hjacklog/virustotal log - immernoch problemZitat:
Zitat:
Zitat:
Gruß |
|
24.09.2008, 17:46
| #8 |
| | hjacklog/virustotal log - immernoch problem ich stimmt dir in allen punkten zu, du musst wissen ich bin einer von deiner sorte ^^ ich hab auch kein virenprogramm und hatte wie gesagt nie einen virus weil ich mich auch gut im internet auskenne und eben sehr misstrauisch geworden bin und ich hab d a s virenkillerprogramm nur ironisch angesprochen weil wir ja bis jetzt viel analysierungsarbeit gemacht haben, diese ganzen logfiles galten doch nur zum finden des virus und ich dachte halt jetzt dass du mir ein programm nennst mit dem man den entdeckten virus gezielt bekämpfen kann ich mach jetzt mal combo fix und poste die ergebnisse |
|
24.09.2008, 18:18
| #9 |
| | hjacklog/virustotal log - immernoch problem so combofix ist durch, internet geht noch =) Code:
ATTFilter ComboFix 08-09-22.06 - Leonie 2008-09-24 18:56:35.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.238 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Leonie\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Leonie\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2008-08-24 bis 2008-09-24 ))))))))))))))))))))))))))))))
.
2008-09-24 18:50 . 2008-09-24 18:50 <DIR> d-------- C:\Programme\CCleaner
2008-09-24 18:37 . 2008-09-24 18:37 <DIR> d-------- C:\Programme\Lavalys
2008-09-24 16:54 . 2008-09-24 16:54 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-24 16:54 . 2008-09-24 16:54 <DIR> d-------- C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\Malwarebytes
2008-09-24 16:54 . 2008-09-24 16:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-24 16:54 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-24 16:54 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-22 17:31 . 2008-09-22 17:31 <DIR> d-------- C:\Programme\Trend Micro
2008-09-20 21:22 . 2008-09-20 21:22 <DIR> d-------- C:\Programme\TinyProxy
2008-09-20 21:21 . 2008-09-20 21:21 1 --a------ C:\WINDOWS\fmark2.dat
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-24 14:32 --------- d-----w C:\Programme\ICQToolbar
2008-09-22 13:44 --------- d-----w C:\Programme\ICQ6
2008-09-21 20:10 --------- d-----w C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\Skype
2008-09-21 20:03 --------- d-----w C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\skypePM
2008-09-11 11:45 --------- d-----w C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\WEB.DE
2008-08-05 17:36 171,618 ----a-w C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\mdb.bin
2008-01-12 19:34 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-04-25 18:14 3,330 ----a-w C:\Dokumente und Einstellungen\Leonie\CachedXtraz.bin
2005-06-07 12:02 43,688 ----a-w C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-03 09:06 163,328 --sha-r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Agent"="C:\Programme\Medion\PowerVCR II\Agent.exe" [2002-05-21 94208]
"Remote_Agent"="C:\Programme\Medion\PowerVCR II\RemoteAgent.exe" [2002-05-21 32768]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 5562368]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2003-05-14 26112]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-04-01 86016]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497]
"FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2006-12-25 356352]
"ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"SoundMan"="SOUNDMAN.EXE" [2003-01-20 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-04-01 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\vio\dvacm.acm
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= ulmp3acm.acm
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"\\\\JULIAN\\Battlefront\\GameData\\Battlefront.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-27 45376]
R1 SSHDRV5C;SSHDRV5C;C:\WINDOWS\system32\drivers\SSHDRV5C.sys [2006-11-21 34816]
R2 DHCP-Client (Dhcp) ;DHCP-Client (Dhcp) ;C:\Programme\TinyProxy\TinyProxy.exe [2008-09-20 11520]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [ ]
S3 gsplittm;gsplittm;C:\DOKUME~1\Leonie\LOKALE~1\Temp\gsplittm.sys [ ]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{27173A27-28E8-06CE-0400-070207060100}]
C:\WINDOWS\system32\server2.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKU-Default-Run-Spyware Doctor - (no file)
Notify-slbipsch - C:\WINDOWS\system32\slbipsch.dll
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Leonie\Anwendungsdaten\Mozilla\Firefox\Profiles\wcepxch6.Basketball\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.web.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 19:01:51
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\WINDOWS\TEMP\mc21.tmp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-24 19:09:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-24 17:09:07
Vor Suchlauf: 15 Verzeichnis(se), 24.602.619.904 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 24,520,990,720 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
151
so jetzt versuch ich nochmal das update |
|
24.09.2008, 22:18
| #10 |
| | hjacklog/virustotal log - immernoch problem ja ehm das update hat geklappt hier jetzt der logfile Code:
ATTFilter Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1202
Windows 5.1.2600 Service Pack 2
24.09.2008 20:49:37
mbam-log-2008-09-24 (20-49-31).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 146732
Laufzeit: 1 hour(s), 15 aminute(s), 47 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.
wie gehts jetzt weiter, der virus ist ja immernoch da, bis jetzt wurd ja nur analysiert wenn ich das richtig sehe? |
|
25.09.2008, 06:04
| #11 |
| | hjacklog/virustotal log - immernoch problem und bevor ich windows neu aufsetze, was soll ich mit der virus datei tinyproxy.exe machen? einfach drauflassen? :S |
|
27.09.2008, 09:02
| #12 |
| | hjacklog/virustotal log - immernoch problem huhu? noch da mellosun? ^^ ich würd gern wissen was ich jetzt machen soll :S |
|
| Themen zu hjacklog/virustotal log - immernoch problem |
| ad aware, add-on, antivir, aus sicherheitsgründen, avira, bho, bonjour, browser, crypter, dhcp-client, excel, google, helfen, hijack, hijackthis, hkus\s-1-5-18, home, hängt, internet explorer, langsam, maßnahme, monitor, mozilla, object, pc tools spyware doctor, problem, rundll, sehr langsam, sicherheitsgründe, sicherheitsgründen, software, spyware, taskmanager, toolbars, uleadburninghelper, urlsearchhook, virus, windows, windows xp |
Linear-Darstellung
