Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.09.2012, 16:54   #1
whatshisname
 
PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12 - Standard

PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12



Hi,

habe mir unter anderem den "Live Security Platinum"-Trojaner eingefangen, der wie ich festgestellt habe, einigen anderen auch Probleme bereitet.
Habe gelesen, dass es für diesen Trojaner noch keine Universallösung gibt, daher nehme ich an, dass mir andere Forenbeiträge nicht wirklich weiterhelfen können. whatever...

Bin den Anweisungen von Trojaner-board (http://www.trojaner-board.de/51187-a...i-malware.html) bereits soweit gefolgt, dass ich nun die log-files posten soll. (S***** mein Name unkenntlich)

Diese Programme hat Malwarebytes gefunden:
PUM.Disabled.SecurityCenter
Rogue.LiveSecurityPlatinum
Trojan.LameShield
Spyware.Password (vor einigen Wochen hatte jemand versucht, mein gmx-Account zu hacken...)

Die Schädlinge wurden wohl nun in Quarantäne geschoben. Was kommt als nächstes?

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.02.03

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
S****** :: S****A-PC [Administrator]

Schutz: Deaktiviert

02.09.2012 17:04:03
mbam-log-2012-09-02 (17-04-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211740
Laufzeit: 5 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|txshv (Spyware.Password) -> Daten: rundll32.exe "C:\Users\S*******\AppData\Roaming\txshv.dll",ResetCounter -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|txshv (Spyware.Password) -> Daten: rundll32.exe "C:\Users\S*****\AppData\Roaming\txshv.dll",ResetCounter -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|6F638C1A030536BBEA6310DBF875F020 (Trojan.LameShield) -> Daten: C:\ProgramData\6F638C1A030536BBEA6310DBF875F020\6F638C1A030536BBEA6310DBF875F020.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Users\S****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\Users\S*****\AppData\Roaming\txshv.dll (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\6F638C1A030536BBEA6310DBF875F020\6F638C1A030536BBEA6310DBF875F020.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\S******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Weitere Infos nötig?

Einige scheine ich mir schon vorher eingefangen zu haben.
Bisher habe ich Avira genutzt, aber der Krug ist nun lange genug zum Brunnen gegangen. Wenn mein Laptop das heil übersteht, kommt ein ordentliches Antivirenprogramm drauf.

Wenn mir jemand weiterhelfen kann (gerne auch mit Verweis auf andere Forenbeiträge), wäre ich unheimlich dankbar.

Viele Grüße

Alt 03.09.2012, 22:15   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12 - Standard

PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12



Zitat:
(S***** mein Name unkenntlich)
Es ist völlig unnötig Vornamen unkenntlich zu machen. Das erschwert und allen nur die Arbeit und v.a. musst du wieder beim Fixen mit OTL und so aufpassen! Mach daher nur Infos unkenntlich, die wirklich privat sind!

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 04.09.2012, 14:08   #3
whatshisname
 
PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12 - Standard

PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12



Danke zunächst einmal für die Antwort, cosinus!

Habe zwar gelesen, dass Quickscan grundsätzlich ausreicht, aber dann mache ich das noch einmal vollständig.

Nur noch eine Frage: Das ganze im Abgesicherten Modus?
Beim ersten Mal habe ich das so gemacht, da es ja nicht anders ging.
Mittlerweile läuft der Laptop zwar wieder, aber aus der Welt ist die Geschichte ja noch nicht :/
__________________

Alt 04.09.2012, 16:30   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12 - Standard

PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12



Wenn es geht im normalen Modus, ansonsten abgesicherten Modus mit Netzwerktreibern! Ohne Netzwerk kannst du die Signaturen nicht updaten!

Alt 30.09.2012, 18:51   #5
whatshisname
 
PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12 - Standard

PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12



Sooooooo.
Habe es nun doch endlich noch einmal geschafft, das Ganze durchzuziehen.
Nachdem die Übeltäter erst einmal in der Quarantäne waren und der Laptop lief, hatte ich einen Grund das aufzuschieben.
What ever...

in chronologischer Reihenfolge:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 2. September 2012  11:54

Es wird nach 4204350 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SASCHA-PC

Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  01.07.2011 14:35:58
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  01.07.2011 14:35:57
LUKE.DLL       : 10.3.0.5       45416 Bytes  01.07.2011 14:36:12
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  01.07.2011 14:36:13
AVREG.DLL      : 10.3.0.9       88833 Bytes  14.07.2011 11:34:39
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 07:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 11:24:10
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 22:35:31
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 11:55:21
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 08:59:43
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 15:10:53
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 15:10:54
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 15:10:54
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 15:10:54
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 15:10:54
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 15:10:54
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 15:10:54
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 15:10:54
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 15:10:54
VBASE014.VDF   : 7.11.38.18   2554880 Bytes  30.07.2012 08:54:02
VBASE015.VDF   : 7.11.38.70    556032 Bytes  31.07.2012 08:54:03
VBASE016.VDF   : 7.11.38.143   171008 Bytes  02.08.2012 08:54:03
VBASE017.VDF   : 7.11.38.221   178176 Bytes  06.08.2012 17:42:22
VBASE018.VDF   : 7.11.39.37    168448 Bytes  08.08.2012 14:56:40
VBASE019.VDF   : 7.11.39.89    131072 Bytes  09.08.2012 14:56:40
VBASE020.VDF   : 7.11.39.145   142336 Bytes  11.08.2012 14:56:41
VBASE021.VDF   : 7.11.39.207   165888 Bytes  14.08.2012 17:45:40
VBASE022.VDF   : 7.11.40.9     156160 Bytes  16.08.2012 19:21:38
VBASE023.VDF   : 7.11.40.49    133120 Bytes  17.08.2012 19:21:38
VBASE024.VDF   : 7.11.40.95    156160 Bytes  20.08.2012 04:41:48
VBASE025.VDF   : 7.11.40.155   181760 Bytes  22.08.2012 04:41:48
VBASE026.VDF   : 7.11.40.205   203264 Bytes  23.08.2012 04:41:49
VBASE027.VDF   : 7.11.41.29    188416 Bytes  27.08.2012 05:19:54
VBASE028.VDF   : 7.11.41.87    250368 Bytes  30.08.2012 05:19:55
VBASE029.VDF   : 7.11.41.88      2048 Bytes  30.08.2012 05:19:55
VBASE030.VDF   : 7.11.41.89      2048 Bytes  30.08.2012 05:19:55
VBASE031.VDF   : 7.11.41.132   201216 Bytes  01.09.2012 08:32:47
Engineversion  : 8.2.10.150
AEVDF.DLL      : 8.1.2.10      102772 Bytes  11.07.2012 16:39:09
AESCRIPT.DLL   : 8.1.4.46      455034 Bytes  31.08.2012 05:20:02
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 12:34:16
AESBX.DLL      : 8.2.5.12      606578 Bytes  18.06.2012 08:10:25
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 10:37:51
AEPACK.DLL     : 8.3.0.32      811382 Bytes  31.08.2012 05:20:02
AEOFFICE.DLL   : 8.1.2.42      201083 Bytes  20.07.2012 08:38:42
AEHEUR.DLL     : 8.1.4.94     5230967 Bytes  31.08.2012 05:20:01
AEHELP.DLL     : 8.1.23.2      258422 Bytes  29.06.2012 15:10:57
AEGEN.DLL      : 8.1.5.36      434549 Bytes  31.08.2012 05:19:56
AEEXP.DLL      : 8.1.0.84       90485 Bytes  31.08.2012 05:20:02
AEEMU.DLL      : 8.1.3.2       393587 Bytes  11.07.2012 16:39:08
AECORE.DLL     : 8.1.27.4      201078 Bytes  07.08.2012 17:42:23
AEBB.DLL       : 8.1.1.0        53618 Bytes  23.04.2010 16:42:01
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  01.07.2011 14:35:57
AVREP.DLL      : 10.0.0.10     174120 Bytes  17.05.2011 13:29:11
AVARKT.DLL     : 10.0.26.1     255336 Bytes  01.07.2011 14:35:54
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  01.07.2011 14:35:55
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  01.07.2011 14:35:47
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  01.07.2011 14:35:47

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 2. September 2012  11:54

Der Suchlauf nach versteckten Objekten wird begonnen.
Fehler in der ARK Library

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avcenter.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'vlc.exe' - '144' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'facemoodssrv.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'SweetIM.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '177' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSvcM.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPGService.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'dgnsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '95' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpnagent.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '573' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Sascha\AppData\Local\Temp\jar_cache3895306313695214389.tmp
  [0] Archivtyp: ZIP
  --> rAla/rAlc.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2008-5353.DQ
  --> rAla/rAla.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2008-5353.DS
  --> rAla/rAld.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.EI
  --> rAla/rAlb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.DI
C:\Users\Sascha\AppData\Local\Temp\jar_cache40565596456237142.tmp
  [0] Archivtyp: ZIP
  --> ha/ha.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CW
  --> ha/hb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CX
  --> ha/hc.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karamel.B
  --> ha/hd.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CY
C:\Users\Sascha\AppData\Local\Temp\omewsxracn.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'F:\' <Saschas Platte>
F:\E-Books\DVD\DVD s kopieren (Anleitung & Programme für CSS geschützte 1 zu 1 kopieren).rar
  [0] Archivtyp: RAR
  --> Clone DVD.rar
      [1] Archivtyp: RAR
    --> cr-cdv13.exe
        [FUND]      Ist das Trojanische Pferd TR/Agent.117936.A

Beginne mit der Desinfektion:
F:\E-Books\DVD\DVD s kopieren (Anleitung & Programme für CSS geschützte 1 zu 1 kopieren).rar
  [FUND]      Ist das Trojanische Pferd TR/Agent.117936.A
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '565df06d.qua' verschoben!
C:\Users\Sascha\AppData\Local\Temp\omewsxracn.exe
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ee5de31.qua' verschoben!
C:\Users\Sascha\AppData\Local\Temp\jar_cache40565596456237142.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-1723.CY
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1ca784d5.qua' verschoben!
C:\Users\Sascha\AppData\Local\Temp\jar_cache3895306313695214389.tmp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.DI
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7a90cb17.qua' verschoben!


Ende des Suchlaufs: Sonntag, 2. September 2012  15:26
Benötigte Zeit:  3:20:38 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  32694 Verzeichnisse wurden überprüft
 1504279 Dateien wurden geprüft
     10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1504269 Dateien ohne Befall
   8775 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise
 714130 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.02.03

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
Sascha :: SASCHA-PC [Administrator]

Schutz: Deaktiviert

02.09.2012 17:04:03
mbam-log-2012-09-02 (17-04-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 211740
Laufzeit: 5 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|txshv (Spyware.Password) -> Daten: rundll32.exe "C:\Users\Sascha\AppData\Roaming\txshv.dll",ResetCounter -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|txshv (Spyware.Password) -> Daten: rundll32.exe "C:\Users\Sascha\AppData\Roaming\txshv.dll",ResetCounter -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|6F638C1A030536BBEA6310DBF875F020 (Trojan.LameShield) -> Daten: C:\ProgramData\6F638C1A030536BBEA6310DBF875F020\6F638C1A030536BBEA6310DBF875F020.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Users\Sascha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\Users\Sascha\AppData\Roaming\txshv.dll (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\6F638C1A030536BBEA6310DBF875F020\6F638C1A030536BBEA6310DBF875F020.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sascha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.29.01

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
Sascha :: SASCHA-PC [Administrator]

29.09.2012 11:02:59
mbam-log-2012-09-29 (11-02-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 411849
Laufzeit: 1 Stunde(n), 49 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Code:
ATTFilter
	ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=23a0d0f8bd70224f959bd88e5a49c15d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-09-29 05:39:03
# local_time=2012-09-29 07:39:03 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 22471 85471661 7467 0
# compatibility_mode=4096 16777215 100 0 77179327 77179327 0 0
# compatibility_mode=5893 16776574 100 94 1634090 100562396 0 0
# compatibility_mode=8192 67108863 100 0 415 415 0 0
# scanned=211380
# found=1
# cleaned=0
# scan_time=9138
C:\Program Files\Image-Line\FL Studio 8\Plugins\Fruity\Generators\Toxic Biohazard\Toxic Biohazard.dll	probably a variant of Win32/Delf.LQXDKYX trojan (unable to clean)	00000000000000000000000000000000	I
         
Vielen Dank nochmals im Voraus!


Alt 01.10.2012, 13:03   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12 - Standard

PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12



adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)
__________________
--> PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12

Antwort

Themen zu PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12
administrator, antivirenprogramm, appdata, autostart, avira, code, dateien, dll, explorer, festgestellt, gelöscht, gen, laptop, live, microsoft, probleme, programme, pum.disabled.securitycenter, roaming, rogue.livesecurityplatinum, rundll, rundll32.exe, schädlinge, security, software, speicher, spyware.password, test, trojan.lameshield, trojaner-board



Ähnliche Themen: PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12


  1. PUM.Disabled.SecurityCenter
    Log-Analyse und Auswertung - 19.07.2015 (5)
  2. PUM.Disabled.Securitycenter & Trojan BHO
    Plagegeister aller Art und deren Bekämpfung - 23.07.2013 (12)
  3. PUM.Disabled.SecurityCenter
    Log-Analyse und Auswertung - 13.01.2013 (10)
  4. PUM.Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 05.12.2012 (1)
  5. PUM.Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 23.11.2012 (4)
  6. PUM.Disabled.SecurityCenter gefunden
    Plagegeister aller Art und deren Bekämpfung - 08.11.2012 (17)
  7. Trojaner PUM.Disabled.SecurityCenter
    Log-Analyse und Auswertung - 17.10.2012 (35)
  8. Auf meinem PC: PUM.Disabled.SecurityCenter, Exploit.Drop.GS, Trojan.Delf, Trojan.Ransom.Gen
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (29)
  9. PUM.Disabled.SecurityCenter entdeckt
    Log-Analyse und Auswertung - 11.09.2012 (1)
  10. Malwarebytes PUM.Disabled.SecurityCenter + Avir SoftwareDistribution
    Log-Analyse und Auswertung - 20.03.2012 (12)
  11. PUM.Disabled.SecurityCenter
    Plagegeister aller Art und deren Bekämpfung - 11.07.2011 (2)
  12. PUM.Disabled.SecurityCenter // PC infiziert?
    Plagegeister aller Art und deren Bekämpfung - 24.02.2011 (6)
  13. Infizierung mit Trojan.DNSChanger + PUM.Disabled.Securitycenter + weiteres?
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (27)
  14. Disabled.SecurityCenter und root.Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.10.2010 (11)
  15. Trojan.Vundo.H und Disabled.SecurityCenter - erfolgreich gelöscht?
    Log-Analyse und Auswertung - 01.10.2010 (25)
  16. Disabled.securityCenter
    Plagegeister aller Art und deren Bekämpfung - 09.06.2009 (1)
  17. Rootkit.Trace, Trojan.Agent, Disabled.SecurityCenter...
    Log-Analyse und Auswertung - 22.04.2009 (16)

Zum Thema PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12 - Hi, habe mir unter anderem den "Live Security Platinum"-Trojaner eingefangen, der wie ich festgestellt habe, einigen anderen auch Probleme bereitet. Habe gelesen, dass es für diesen Trojaner noch keine Universallösung - PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12...
Archiv
Du betrachtest: PUM.Disabled.SecurityCenter, Rogue.LiveSecurityPlatinum, Trojan.LameShield, Spyware.Password - 02.09.12 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.