| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: nochmals gefaktes Windows security popup FensterWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
09.10.2008, 13:02
| #1 |
| |  nochmals gefaktes Windows security popup Fenster Hallo, Jetzt siehts so aus: ComboFix Log: (unter "entfernte verweiste Registrierungsdateien" steht die vorher nicht gefundene Datei...???) ComboFix 08-10-08.04 - diabolus 2008-10-09 13:40:27.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.246 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\diabolus\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-09-09 bis 2008-10-09 )))))))))))))))))))))))))))))) . 2008-10-08 17:41 . 2008-10-08 17:41 <DIR> d-------- C:\rsit 2008-10-08 17:41 . 2008-10-09 11:37 <DIR> d-------- C:\Programme\trend micro 2008-10-08 16:35 . 2008-10-08 16:35 <DIR> d-------- C:\Dokumente und Einstellungen\diabolus\Anwendungsdaten\Malwarebytes 2008-10-08 16:34 . 2008-10-08 16:36 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-08 16:34 . 2008-10-08 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-08 16:34 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-08 16:34 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-08 14:01 . 2008-10-08 14:01 <DIR> d-------- C:\Programme\Lavasoft 2008-10-08 14:01 . 2008-10-08 14:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-10-08 14:00 . 2008-10-08 14:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-07 19:24 . 2008-10-08 17:29 <DIR> d-------- C:\Programme\vdicmyc 2008-10-07 19:23 . 2008-10-07 22:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dedmngxo . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-09 11:10 --------- d-----w C:\Dokumente und Einstellungen\diabolus\Anwendungsdaten\Skype 2008-10-08 17:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-10-08 12:09 --------- d-----w C:\Dokumente und Einstellungen\diabolus\Anwendungsdaten\uTorrent 2008-10-08 07:22 --------- d-----w C:\Programme\Feurio 2008-09-11 05:05 --------- d-----w C:\Programme\Google 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-16 94208] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 22880040] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-07-30 155648] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-07-30 118784] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-04-20 323584] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352] "TrackPointSrv"="tp4mon.exe" [2004-08-04 C:\WINDOWS\system32\tp4mon.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\VideoLAN\\VLC\\vlc.exe"= "C:\\Programme\\utorrent\\utorrent.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 Kithara-kwtsx;Dr. G. Schuhfried Customer Driver;C:\WINDOWS\system32\kwtsx.sys [2002-11-04 86624] S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704] S3 Schdng;Schdng;C:\WINDOWS\system32\Drivers\Schdng.sys [2000-05-02 21472] S3 Tdallas;Tdallas;C:\WINDOWS\system32\Drivers\Tdallas.sys [2000-05-03 18240] S3 WtsUsb;Vienna Test System USB driver;C:\WINDOWS\system32\Drivers\wtsusb.sys [2003-01-31 22912] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc96aa80-4746-11db-a7ab-000ae4318dfe}] \Shell\AutoRun\command - F:\pushinst.exe *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-10-09 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Programme\Symantec\LiveUpdate\NDetect.exe [] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-Vidalia - C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe HKLM-Run-routcnf - C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe HKLM-Explorer_Run-krYCTshxkn - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dedmngxo\bsbadifk.exe . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\diabolus\Anwendungsdaten\Mozilla\Firefox\Profiles\ggduho54.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-09 13:44:08 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-09 13:47:03 ComboFix-quarantined-files.txt 2008-10-09 11:46:40 Vor Suchlauf: 3.020.304.384 Bytes frei Nach Suchlauf: 3,676,340,224 Bytes frei 103 --- E O F --- 2008-09-10 18:30:21 Danach dann das mit dem MBR-Rootkit: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Ist das nun alles positiv??? Habe jetzt schon herzlich zu danken, Chris! Muss jetzt leider ersma 2 Std. weg... Viele Grüße, Martin |
|
09.10.2008, 13:38
| #2 |
  | nochmals gefaktes Windows security popup Fenster Hi,
__________________das sieht eigentlich ganz gut aus, mit den Treibern kann ich allerdings nichts anfangen: C:\WINDOWS\system32\Drivers\Schdng.sys C:\WINDOWS\system32\Drivers\Tdallas.sys C:\WINDOWS\system32\Drivers\wtsusb.sys Bitte mal online prüfen lassen... Weiterhin gibt es seltsame Verzeichnisse: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dedmngxo C:\Programme\vdicmyc Inhalt prüfen und ggf. löschen JAVA Deine Javasoftware ist veraltet, Download jre-6u7-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe” Combofix entfernen: Start->Ausführen, dann combofix /u reinschreiben und OK drücken... Backups von Avenger&Co (falls vorhanden) löschen: Falls der Rechner einwandfrei läuft, können die Backups der Bereinigungstools gelöscht werden (soweit vorhanden): C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren chris
__________________ |
|
| Themen zu nochmals gefaktes Windows security popup Fenster |
| .com, ad-aware, add-on, adware.egdaccess, antivir, avgntflt.sys, avira, behebung, browser, desktop, disabletaskmgr, excel, fake.dropped.malware, firefox, helfen, helper, hijack.taskmanager, hijackthis, hkus\s-1-5-18, install.exe, installation, internet explorer, malware.trace, mozilla, popup, popup-fenster, problem, programm, registrierungsschlüssel, registry, security, software, stick, symantec, system, systemcheck, toolbars, trojan.clicker, trojan.fakealert.h, usb, vielen dank, vlc media player, windows, windows security, windows xp |
Hybrid-Darstellung
