| |
| |||||||
Log-Analyse und Auswertung: PUM.Hijack.StartMenu & Trojan.FakeAlert in der registryWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
27.02.2012, 18:18
| #1 |
 |  PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry Hallo, ich hatte die letzte Woche damit angefangen so nützliche Sachen zu installieren wie TrueCrypt, GPG, nen Backuptool, Jondofox und Tor (hatte grad ein bischen Zeit mich einzuarbeiten) und dachte mir ich mache bevor ich Schlüssel erzeuge oder anfange Passwörter für die Verschlüsselung einzurichten noch nen Virenscan zur Sicherheit. Ich habe dann die neue mbam Version installiert und nen Vollscan im abgesicherten Modus gemacht. (Abges. Modus weil ich mal gelesen hab das da die Chancen besser sind was zu finden) Zu meiner Überraschung wurden dabei sogar zwei infizierte registry Einträge gefunden die dann unter Quarantäne gestellt wurden. Hier sind die Logs von mbam und DDS nach Defogger Code:
ATTFilter Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.26.01 Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus) Internet Explorer 9.0.8112.16421 HP :: YUBYUP [Administrator] 26.02.2012 14:11:59 mbam-log-2012-02-26 (14-11-59).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P Deaktivierte Suchlaufeinstellungen: Durchsuchte Objekte: 500200 Laufzeit: 1 Stunde(n), 29 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCU\SOFTWARE\Invictus (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter .
DDS (Ver_2011-08-26.01) - NTFSAMD64
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 10.3.1
Run by HP at 16:18:40 on 2012-02-27
Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.2813.1944 [GMT 1:00]
.
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\Hpservice.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\AEADISRV.EXE
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files (x86)\GNU\GnuPG\dirmngr.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\Program Files (x86)\Secunia\PSI\PSIA.exe
C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe
C:\Program Files (x86)\Secunia\PSI\sua.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = about:blank
mWinlogon: Userinit=userinit.exe,
BHO: KeyScramblerBHO Class: {2b9f5787-88a5-4945-90e7-c4b18563bc5e} - C:\Program Files (x86)\KeyScrambler\KeyScramblerIE.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
uRun: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
uRun: [KeePass Password Safe 2] "C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe"
uRun: [TrueCrypt] "C:\Program Files\TrueCrypt\TrueCrypt.exe" /q preferences /a logon
mRun: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
mRun: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
mRun: [KeePass 2 PreLoad] "C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe" --preload
mRun: [<NO NAME>]
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\SECUNI~1.LNK - C:\Program Files (x86)\Secunia\PSI\psi_tray.exe
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorAdmin = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - {B745F984-EF2E-40D6-A9AC-D8CED7230E61} - C:\Program Files (x86)\KeyScrambler\KeyScramblerIE.dll
Trusted Zone: microsoft.com\*.update
Trusted Zone: microsoft.com\update
Trusted Zone: secunia.com\psi
Trusted Zone: windowsupdate.com\download
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{10BCBD70-3268-43EF-9081-74F2FB159054} : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{3811B58C-5ED8-4279-96C9-033CED27408C}\7574F534C616E6 : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{3811B58C-5ED8-4279-96C9-033CED27408C}\75C414E4D284F6D656 : DhcpNameServer = 192.168.2.1
{2B9F5787-88A5-4945-90E7-C4B18563BC5E}
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
mRun-x64: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun-x64: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
mRun-x64: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
mRun-x64: [KeePass 2 PreLoad] "C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe" --preload
mRun-x64: [(Standard)]
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\JonDoFox\
FF - prefs.js: browser.search.selectedEngine - Startingpage HTTPS - Deutsch
FF - prefs.js: browser.startup.homepage - hxxps://startpage.com/do/mypage.pl?prf=a2d1ece1398370b0e8129333d0592721
FF - prefs.js: keyword.enabled - false
FF - prefs.js: network.proxy.gopher -
FF - prefs.js: network.proxy.gopher_port - 0
FF - prefs.js: network.proxy.type - 1
FF - plugin: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime\bin\plugin2\npjp2.dll
FF - plugin: C:\Windows\system32\npdeployJava1.dll
FF - plugin: C:\Windows\system32\npmproxy.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
.
============= SERVICES / DRIVERS ===============
.
R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys --> C:\Windows\system32\DRIVERS\vwififlt.sys [?]
R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\system32\atiesrxx.exe --> C:\Windows\system32\atiesrxx.exe [?]
R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2010-6-14 136360]
R2 AntiVirService;Avira AntiVir Guard;C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2010-6-14 269480]
R2 avgntflt;avgntflt;C:\Windows\system32\DRIVERS\avgntflt.sys --> C:\Windows\system32\DRIVERS\avgntflt.sys [?]
R2 DirMngr;DirMngr;C:\Program Files (x86)\GNU\GnuPG\dirmngr.exe [2011-3-2 224256]
R2 hpsrv;HP Service;C:\Windows\system32\Hpservice.exe --> C:\Windows\system32\Hpservice.exe [?]
R2 Secunia PSI Agent;Secunia PSI Agent;C:\Program Files (x86)\Secunia\PSI\psia.exe [2010-12-21 987704]
R2 Secunia Update Agent;Secunia Update Agent;C:\Program Files (x86)\Secunia\PSI\sua.exe [2010-12-21 399416]
R2 TeamViewer7;TeamViewer 7;C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2011-12-24 2984832]
R3 KeyScrambler;KeyScrambler;C:\Windows\system32\drivers\keyscrambler.sys --> C:\Windows\system32\drivers\keyscrambler.sys [?]
R3 PSI;PSI;C:\Windows\system32\DRIVERS\psi_mf.sys --> C:\Windows\system32\DRIVERS\psi_mf.sys [?]
R3 SbieDrv;SbieDrv;C:\Program Files\Sandboxie\SbieDrv.sys [2012-2-8 161432]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk62x64.sys --> C:\Windows\system32\DRIVERS\yk62x64.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S2 gupdate;Google Update Service (gupdate);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-6-22 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-6-22 136176]
S3 StorSvc;Speicherdienst;C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?]
S3 USBAAPL64;Apple Mobile USB Driver;C:\Windows\system32\Drivers\usbaapl64.sys --> C:\Windows\system32\Drivers\usbaapl64.sys [?]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;C:\Windows\system32\DRIVERS\vwifimp.sys --> C:\Windows\system32\DRIVERS\vwifimp.sys [?]
S3 yukonx64;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x64.sys --> C:\Windows\system32\DRIVERS\yk60x64.sys [?]
.
=============== Created Last 30 ================
.
2012-02-25 22:43:23 -------- d-----w- C:\Users\HP\AppData\Roaming\gnupg
2012-02-25 22:43:11 -------- d-----w- C:\Program Files (x86)\GNU
2012-02-25 22:37:19 -------- d-----w- C:\Users\HP\AppData\Local\Lupinho.Net
2012-02-25 22:36:52 -------- d-----w- C:\Program Files\Lupinho.Net
2012-02-25 21:53:58 509952 ----a-w- C:\Windows\System32\ntshrui.dll
2012-02-25 21:53:58 442880 ----a-w- C:\Windows\SysWow64\ntshrui.dll
2012-02-25 21:53:56 515584 ----a-w- C:\Windows\System32\timedate.cpl
2012-02-25 21:53:56 478720 ----a-w- C:\Windows\SysWow64\timedate.cpl
2012-02-25 18:47:10 414368 ----a-w- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-25 17:51:36 23152 ----a-w- C:\Windows\System32\drivers\mbam.sys
2012-02-25 17:51:35 -------- d-----w- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2012-02-22 20:32:23 -------- d-----w- C:\Program Files (x86)\Oracle
2012-02-22 20:30:47 637848 ----a-w- C:\Windows\SysWow64\npdeployJava1.dll
2012-02-17 15:29:53 -------- d-----w- C:\opt
2012-02-15 09:28:58 3145728 ----a-w- C:\Windows\System32\win32k.sys
2012-02-15 09:28:57 498688 ----a-w- C:\Windows\System32\drivers\afd.sys
2012-02-15 09:28:51 690688 ----a-w- C:\Windows\SysWow64\msvcrt.dll
2012-02-15 09:28:51 634880 ----a-w- C:\Windows\System32\msvcrt.dll
2012-02-13 19:48:18 -------- d-----w- C:\Users\HP\AppData\Roaming\tor
2012-02-13 19:32:06 -------- d-----w- C:\Program Files (x86)\Tor
2012-02-12 00:11:21 -------- d-----w- C:\Users\HP\AppData\Roaming\JonDo
2012-02-11 22:57:00 -------- d-----w- C:\Program Files (x86)\JonDo
2012-02-08 22:52:59 -------- d-----w- C:\Users\HP\AppData\Local\Eclipse
2012-01-28 18:01:55 -------- d-----w- C:\Users\HP\AppData\Roaming\Tracker Software
.
==================== Find3M ====================
.
2012-01-10 12:57:10 567696 ----a-w- C:\Windows\SysWow64\deployJava1.dll
2011-12-23 17:26:06 230864 ----a-w- C:\Windows\System32\drivers\truecrypt.sys
2011-12-15 00:46:42 222904 ----a-w- C:\Windows\System32\drivers\keyscrambler.sys
2011-12-14 07:11:03 2308096 ----a-w- C:\Windows\System32\jscript9.dll
2011-12-14 07:04:30 1390080 ----a-w- C:\Windows\System32\wininet.dll
2011-12-14 07:03:38 1493504 ----a-w- C:\Windows\System32\inetcpl.cpl
2011-12-14 06:57:28 2382848 ----a-w- C:\Windows\System32\mshtml.tlb
2011-12-14 03:04:54 1798656 ----a-w- C:\Windows\SysWow64\jscript9.dll
2011-12-14 02:57:18 1127424 ----a-w- C:\Windows\SysWow64\wininet.dll
2011-12-14 02:56:58 1427456 ----a-w- C:\Windows\SysWow64\inetcpl.cpl
2011-12-14 02:50:04 2382848 ----a-w- C:\Windows\SysWow64\mshtml.tlb
.
============= FINISH: 16:19:34,81 ===============
Über "HKCU\SOFTWARE\Invictus (Trojan.FakeAlert)" habe ich bisher herausgefunden, dass Invictus Games Ltd. eine scheinbar Russische Frima ist die unter anderem das Spiel LevelR betreibt, welches ich (im Herbst 2010 glaube ich) mal ein paar Wochen lang installiert hatte. Habe dann noch einamal die Suche bemüht und bin auf einen Thread in einem LevelR Forum gestoßen, wo wohl einige einen ähnlichen Fund hatten, allerdings ohne dort ein konkretes Ergebnis zu finden. Hier der Link: hxxp://levelr.gamigo.de/forum/showthread.php?t=11662 Kann mich auch damals an keinerlei Probleme erinnern (Ausser, dass beim Gamigo Account der "löschen" knopf fehlt) Bei dem anderen Eintrag habe ich keine Ahnung wozu der gehört oder wie der dorthin gekommen sein kann. In dem Zusammenhang habe ich mich dann allerdings daran erinnert das Avira vor ein paar Monaten mal einen Fund hatte den ich false positive eingestuft hatte, mir aber jetzt nicht mehr ganz sicher bin. Da die logs leider nur noch von den letzten 30 Tagen zur Verfügung stehen (hab das jetzt geändert) konnte ich das leider nur in der Quarantäne noch einsehen. Das war die unins000.exe von Ashampoo Burning Studio 2010 (von Chip geladen). Genaueres dazu habe ich im Anhang mitgeschickt. Ich habe auch noch eine altes mbam log von 2010 (Stelle auch mit Erschrecken fest, dass mein letzter Vollscan so lange zurück liegt) und eines von heute Mittag nach Quarantäne beigefügt. Ich Hoffe ihr könnt mir Helfen diese Funde zu interpretieren. Ich bin gerade etwas beunruhigt weil die Dinge die da sind oder vielleicht mal da waren dann wahrscheinlich schon vor über einem Jahr da waren (zumindest Invictus Trojan.Fakealert). Vielen Dank und liebe Grüße Hamlon |
| Themen zu PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry |
| .com, administrator, antivir, antivir guard, avira, dateien, dateisystem, defender, desktop, excel, explorer, firefox, gelöscht, google, google earth, heuristiks/extra, heuristiks/shuriken, ics, infizierte, löschen, microsoft, mozilla, neue, plug-in, preferences, registry, scan, secunia psi, software, studio, suche, svchost.exe, system32, tracker |
Baum-Darstellung