Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: total secure 2009, virus alert und popups..

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.10.2008, 04:39   #1
SoNiC FReaK
 
total secure 2009, virus alert und popups.. - Standard

total secure 2009, virus alert und popups..



hi erstmal,
hab mir heute wohl zum ersten mal seit jahren nen ziemlich miesen virus eingefangen, spyware nehm ich mal an..das problem ist folgendes:

nach systemstart aktiviert sich n programm namens Total Secure 2009, meldet merkwürdige viren usw., ich drücks immer sofort weg sobalds erscheint..anfangs hats auch sämtliche funktionen deaktiviert wie z.b. das editieren der registry und den taskmanager..diese einschränkungen hab ich allerdings bereits behoben anzumerken wäre noch, dass neben der uhr 'VIRUS ALERT!' steht..
momentan lass ich mal avast ne komplett prüfung des systems machen..aber um auf nummer sicher zu gehn hab ich hier noch das HJT logfile, danke schonmal für die hilfe...


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:31: VIRUS ALERT!, on 28.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\TuneUp Utilities 2008\Integrator.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\TuneUp Utilities 2008\StartUpManager.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINXP\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O3 - Toolbar: wvfsrqab - {D92C8B24-6818-4992-AFDD-7E96C92E28BD} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: qvkpfo.dll
O21 - SSODL: wfexqnrp - {954EFA65-866E-480B-BFA7-A1C3721E7DCA} - \wfexqnrp.dll
O21 - SSODL: wvbegpqs - {F5C4A19C-A29C-4CD1-A45B-C02E6ADCED37} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: OneStepSearch Service - OneStepSearch.net, Inc. - C:\Programme\OneStep\onestep.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe

--
End of file - 6081 bytes

Alt 28.10.2008, 12:03   #2
undoreal
/// AVZ-Toolkit Guru
 
total secure 2009, virus alert und popups.. - Standard

total secure 2009, virus alert und popups..



Halli hallo SoNiC FReaK



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Scanne den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste wie immer die logs. Poste natürlich auch das Avast log.
__________________

__________________

Alt 28.10.2008, 16:53   #3
SoNiC FReaK
 
total secure 2009, virus alert und popups.. - Standard

total secure 2009, virus alert und popups..



so alles erledigt..hier die logs:

ComboFix 08-10-27.05 - David 2008-10-28 12:36:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.501 [GMT 1:00]
.
Die folgenden Dateien wurden während des Laufs deaktiviert:
C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINXP\k.txt
C:\WINXP\system32\drivers\TDSSmxoe.sys
C:\WINXP\system32\efcASjkk.dll
C:\WINXP\system32\hiliqusx.dll
C:\WINXP\system32\lmTwwyay.ini
C:\WINXP\system32\lmTwwyay.ini2
C:\WINXP\system32\mkndstvb.dll
C:\WINXP\system32\msssc.dll
C:\WINXP\system32\qvkpfo.dll
C:\WINXP\system32\TDSScrxx.dll
C:\WINXP\system32\TDSSehys.dll
C:\WINXP\system32\TDSSitpe.dat
C:\WINXP\system32\TDSSlubs.log
C:\WINXP\system32\TDSSncur.dll
C:\WINXP\system32\TDSSnmxh.log
C:\WINXP\system32\TDSSoipa.dll
C:\WINXP\system32\TDSSoiqh.dll
C:\WINXP\system32\TDSSqxgx.dll
C:\WINXP\system32\TDSSsahc.dll
C:\WINXP\system32\TDSSwgod.log
C:\WINXP\system32\TDSSyavu.dll
C:\WINXP\system32\uwihlglv.ini
C:\WINXP\system32\vlglhiwu.dll
C:\WINXP\system32\vubtqk.dll
C:\WINXP\system32\xsuqilih.ini
C:\WINXP\system32\xvdkpyts.dll
C:\WINXP\system32\xxywWoLb.dll
C:\WINXP\system32\yaywwTml.dll

----- BITS: Eventuell infizierte Webseiten -----

hxxp://megauplinkbindinstaller.com
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv
-------\Legacy_TDSSserv
-------\Service_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-28 ))))))))))))))))))))))))))))))
.

2008-10-28 12:26 . 2008-10-28 12:26 <DIR> d-------- C:\Programme\CCleaner
2008-10-28 04:30 . 2008-10-28 04:30 <DIR> d-------- C:\Programme\Trend Micro
2008-10-28 02:38 . 2008-10-28 02:38 <DIR> d-------- C:\Programme\Enigma Software Group
2008-10-28 02:26 . 2008-10-28 02:26 <DIR> d--h----- C:\WINXP\system32\GroupPolicy
2008-10-28 01:03 . 2008-10-28 01:03 <DIR> d-------- C:\Programme\Alwil Software
2008-10-28 01:03 . 2003-03-18 21:20 1,060,864 --a------ C:\WINXP\system32\MFC71.dll
2008-10-28 01:03 . 2003-03-18 20:14 499,712 --a------ C:\WINXP\system32\MSVCP71.dll
2008-10-28 01:03 . 2003-02-21 04:42 348,160 --a------ C:\WINXP\system32\MSVCR71.dll
2008-10-28 01:02 . 2008-10-27 18:54 327,680 --a------ C:\wfexqnrp.dll
2008-10-28 00:58 . 2008-10-28 00:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-10-28 00:53 . 2008-10-28 00:53 <DIR> d-------- C:\Programme\Adobe Media Player
2008-10-28 00:51 . 2008-10-28 00:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-10-28 00:46 . 2008-10-28 00:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-10-28 00:42 . 2008-10-28 00:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-10-28 00:05 . 2008-10-28 00:05 <DIR> d-------- C:\WINXP\Sun
2008-10-27 16:47 . 2008-10-28 03:51 <DIR> d-------- C:\Programme\OneStep
2008-10-27 03:40 . 2008-10-27 03:40 <DIR> d-------- C:\Programme\Java
2008-10-27 03:40 . 2008-10-27 03:40 410,976 --a------ C:\WINXP\system32\deploytk.dll
2008-10-27 03:40 . 2008-10-27 03:40 73,728 --a------ C:\WINXP\system32\javacpl.cpl
2008-10-27 00:57 . 2008-10-27 00:58 <DIR> d-------- C:\Programme\ICQ6
2008-10-27 00:57 . 2008-10-27 00:58 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\ICQ
2008-10-27 00:17 . 2008-10-27 00:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2008-10-26 23:57 . 2008-10-26 23:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-10-26 23:55 . 2008-10-26 23:55 <DIR> d-------- C:\Programme\Analog Devices
2008-10-26 23:42 . 2008-10-26 23:42 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-10-26 23:42 . 2008-10-26 23:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-10-26 23:42 . 2008-10-26 23:42 361,728 --a------ C:\WINXP\system32\TuneUpDefragService.exe
2008-10-26 23:42 . 2008-07-18 15:05 28,416 --a------ C:\WINXP\system32\uxtuneup.dll
2008-10-26 23:41 . 2008-10-26 23:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-26 23:04 . 2008-10-26 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\TuneUp Software
2008-10-26 23:02 . 2008-10-26 23:02 <DIR> d-------- C:\Programme\Messenger Plus! Live

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-26 23:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-26 21:51 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-10-26 21:51 --------- d-----w C:\Programme\Windows Live
2008-10-26 21:48 19,456 ----a-w C:\WINXP\system32\mdhcp32.dll
2008-10-26 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-10-26 21:45 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\ATI
2008-10-26 21:42 --------- d-----w C:\Programme\ATI Technologies
2008-10-26 21:34 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-10-26 21:00 --------- d-----w C:\Programme\microsoft frontpage
2008-10-26 20:57 --------- d-----w C:\Programme\Online-Dienste
2008-10-26 20:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-10-26 20:54 --------- d-----w C:\Programme\Windows Media Connect 2
2008-09-15 15:24 1,846,528 ----a-w C:\WINXP\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINXP\system32\drivers\srv.sys
2008-08-26 07:57 826,368 ----a-w C:\WINXP\system32\wininet.dll
2008-08-14 13:19 2,191,488 ----a-w C:\WINXP\system32\ntoskrnl.exe
2008-08-14 13:19 2,068,352 ----a-w C:\WINXP\system32\ntkrnlpa.exe
2008-07-31 09:16 947,472 ----a-w C:\WINXP\system32\msjava.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINXP\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2002-11-08 98304]
"SunJavaUpdateSched"="C:\Programme\Java\jre6\bin\jusched.exe" [2008-10-27 136600]
"AdobeCS4ServiceManager"="C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"SpyHunter Security Suite"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-09-10 864256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wfexqnrp"= {954EFA65-866E-480B-BFA7-A1C3721E7DCA} - \wfexqnrp.dll [2008-10-27 327680]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=vubtqk.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R1 aswSP;avast! Self Protection;C:\WINXP\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 adfs;adfs;C:\WINXP\system32\drivers\adfs.sys [2008-08-14 74720]
R2 aswFsBlk;aswFsBlk;C:\WINXP\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 JavaQuickStarterService;Java Quick Starter;C:\Programme\Java\jre6\bin\jqs.exe [2008-10-27 152984]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINXP\System32\svchost.exe [2008-04-14 14336]
S2 OneStepSearch Service;OneStepSearch Service;C:\Programme\OneStep\onestep.exe C:\Programme\OneStep\onestep.dll Service [ ]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINXP\System32\TuneUpDefragService.exe [2008-10-26 361728]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2b4e9d-a39f-11dd-8c3f-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-28 C:\WINXP\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{549234af-287a-4d44-b2a7-fd9f504c8383} - C:\WINXP\system32\vubtqk.dll
BHO-{ADEFE9B7-FEF0-464A-9D84-843E1FB5EA28} - C:\WINXP\system32\xxywWoLb.dll
BHO-{FA848403-198C-40EC-911B-0B6F37CD8414} - C:\WINXP\system32\yaywwTml.dll
ShellExecuteHooks-{ADEFE9B7-FEF0-464A-9D84-843E1FB5EA28} - C:\WINXP\system32\xxywWoLb.dll
SSODL-wvbegpqs-{F5C4A19C-A29C-4CD1-A45B-C02E6ADCED37} - (no file)
SafeBoot-TDSSmxoe.sys


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\David\Anwendungsdaten\Mozilla\Firefox\Profiles\h6b2yg03.default\
FF -: plugin - C:\Programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npdeploytk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-28 12:41:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINXP\system32\winlogon.exe
-> C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll

Prozess: C:\WINXP\system32\lsass.exe
-> C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll

Prozess: C:\WINXP\explorer.exe
-> C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINXP\system32\ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINXP\system32\ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINXP\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-28 12:45:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-28 11:44:58

Vor Suchlauf: 10 Verzeichnis(se), 147,332,186,112 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 147,311,775,744 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

206 --- E O F --- 2008-10-27 02:03:31




SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/28/2008 at 01:52 PM

Application Version : 4.21.1004

Core Rules Database Version : 3611
Trace Rules Database Version: 1597

Scan type : Complete Scan
Total Scan Time : 00:56:18

Memory items scanned : 522
Memory threats detected : 1
Registry items scanned : 3946
Registry threats detected : 6
File items scanned : 104987
File threats detected : 17

Adware.Vundo-Variant/J
C:\WFEXQNRP.DLL
C:\WFEXQNRP.DLL

Trojan.FakeAlert-MinimoX
HKLM\Software\Classes\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}
HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}
HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}\ProgID
HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}\Programmable
HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}\TypeLib
HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}\VersionIndependentProgID

Rogue.TotalSecure2009
C:\Dokumente und Einstellungen\David\Desktop\Total Secure 2009.lnk

Adware.OneStepSearch
C:\PROGRAMME\ONESTEP\ONESTEP.EXE
C:\PROGRAMME\ONESTEP\OSOPT.EXE
C:\PROGRAMME\ONESTEP\UNINSTALL.EXE
D:\PROGRAMME\ONESTEP\ONESTEP.DLL
D:\PROGRAMME\ONESTEP\ONESTEP.EXE
D:\PROGRAMME\ONESTEP\OSOPT.EXE
D:\PROGRAMME\ONESTEP\UNINSTALL.EXE
C:\WINXP\Prefetch\ONESTEP.EXE-0BB18C16.pf

Adware.Vundo/Variant
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002134.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002125.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002127.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002128.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002131.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002133.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002135.DLL




Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1332
Windows 5.1.2600 Service Pack 3

28.10.2008 16:51:46
mbam-log-2008-10-28 (16-51-46).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 139260
Laufzeit: 56 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\lospn (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\lsksaq.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.brso (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c031ad2a-dee0-42c7-ba31-ce21ae4ae057} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d71c4af2-9e0d-4eb3-98a6-f542e6f360d9} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e52c17c7-8498-4d09-93b8-0c9227d10aeb} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{b63a6129-3d5f-4c11-b0e0-379d0737cbe0} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c420cf9f-d9d6-421f-958f-aa59906c2b12} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wfexqnrp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76497-648-4692581-23689) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\OneStep (Adware.OneStepSearch) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINXP\system32\efcASjkk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINXP\system32\hiliqusx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINXP\system32\mkndstvb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINXP\system32\qvkpfo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINXP\system32\vlglhiwu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINXP\system32\vubtqk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINXP\system32\xvdkpyts.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINXP\system32\xxywWoLb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINXP\system32\yaywwTml.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002126.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002130.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002139.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\OneStep\home.js (Adware.OneStepSearch) -> Quarantined and deleted successfully.
C:\Programme\OneStep\readme.html (Adware.OneStepSearch) -> Quarantined and deleted successfully.
__________________

Alt 28.10.2008, 19:03   #4
undoreal
/// AVZ-Toolkit Guru
 
total secure 2009, virus alert und popups.. - Standard

total secure 2009, virus alert und popups..



ayaya..

Wenn dir irgendwas an deiner Privatsphäre und Sicherheit im WorldWideWeb liegt dann solltest du den Rechner dringend neuaufsetzen!

Bereinigung nach einer Kompromitierung


Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu total secure 2009, virus alert und popups..
alert, antivirus, avast, avast!, einschränkungen, enigma, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, mozilla, outlook express, problem, programm, programme, registry, security, security suite, software, spyware, tan, tuneup.defrag, viren, viren usw., virus, virus alert, virus alert!, virus eingefangen, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: total secure 2009, virus alert und popups..


  1. Virus blockiert System -> "alert[1].htm" fake alert.AP -> 100 € Forderung
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (15)
  2. Total Win 7 Security Tool Alert
    Log-Analyse und Auswertung - 03.04.2010 (1)
  3. nach secure alert meldungen vermutlich weitere probleme!
    Plagegeister aller Art und deren Bekämpfung - 06.01.2010 (59)
  4. Windows security alert - popups mit gefakten Viruswarnungen
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (5)
  5. total security 2009
    Plagegeister aller Art und deren Bekämpfung - 14.10.2009 (6)
  6. virusbefall von total secure! bitte um log-kontrolle
    Log-Analyse und Auswertung - 19.09.2009 (9)
  7. Langsamer Rechner, Infekt Windows Antivirus Pro, Total Secure
    Plagegeister aller Art und deren Bekämpfung - 06.09.2009 (12)
  8. Ms Antispyware 2009 Popups
    Antiviren-, Firewall- und andere Schutzprogramme - 20.04.2009 (86)
  9. F-Secure 2009-Fehlfunktion & ie7-Änderung
    Antiviren-, Firewall- und andere Schutzprogramme - 09.12.2008 (0)
  10. Virus Alert neben Uhr, PopUps und XXX-Links
    Mülltonne - 27.10.2008 (0)
  11. Antivirus 2009 Alert
    Plagegeister aller Art und deren Bekämpfung - 24.10.2008 (8)
  12. Erfahrungswerte gesucht: F-Secure Internet Security 2009
    Antiviren-, Firewall- und andere Schutzprogramme - 16.10.2008 (3)
  13. Windows Security Alert - Popups
    Plagegeister aller Art und deren Bekämpfung - 10.10.2008 (8)
  14. F-Secure hat Virus gemeldet
    Log-Analyse und Auswertung - 06.08.2008 (1)
  15. Ständiger PopUps mit Windows Security Alert
    Log-Analyse und Auswertung - 15.03.2008 (8)
  16. Bitte mal Log überprüfen, Security Alert geht an und Popups gehen hoch
    Log-Analyse und Auswertung - 12.11.2006 (1)
  17. Alert-Popups von IE Explorer
    Plagegeister aller Art und deren Bekämpfung - 16.08.2005 (12)

Zum Thema total secure 2009, virus alert und popups.. - hi erstmal, hab mir heute wohl zum ersten mal seit jahren nen ziemlich miesen virus eingefangen, spyware nehm ich mal an..das problem ist folgendes: nach systemstart aktiviert sich n programm - total secure 2009, virus alert und popups.....
Archiv
Du betrachtest: total secure 2009, virus alert und popups.. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.