|
Log-Analyse und Auswertung: total secure 2009, virus alert und popups..Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
28.10.2008, 04:39 | #1 |
| total secure 2009, virus alert und popups.. hi erstmal, hab mir heute wohl zum ersten mal seit jahren nen ziemlich miesen virus eingefangen, spyware nehm ich mal an..das problem ist folgendes: nach systemstart aktiviert sich n programm namens Total Secure 2009, meldet merkwürdige viren usw., ich drücks immer sofort weg sobalds erscheint..anfangs hats auch sämtliche funktionen deaktiviert wie z.b. das editieren der registry und den taskmanager..diese einschränkungen hab ich allerdings bereits behoben anzumerken wäre noch, dass neben der uhr 'VIRUS ALERT!' steht.. momentan lass ich mal avast ne komplett prüfung des systems machen..aber um auf nummer sicher zu gehn hab ich hier noch das HJT logfile, danke schonmal für die hilfe... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 04:31: VIRUS ALERT!, on 28.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\csrss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\Explorer.EXE C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINXP\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Java\jre6\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINXP\system32\wscntfy.exe C:\WINXP\System32\alg.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINXP\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINXP\system32\taskmgr.exe C:\Programme\TuneUp Utilities 2008\Integrator.exe C:\Programme\Alwil Software\Avast4\ashSimpl.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\TuneUp Utilities 2008\StartUpManager.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINXP\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O3 - Toolbar: wvfsrqab - {D92C8B24-6818-4992-AFDD-7E96C92E28BD} - (no file) O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: qvkpfo.dll O21 - SSODL: wfexqnrp - {954EFA65-866E-480B-BFA7-A1C3721E7DCA} - \wfexqnrp.dll O21 - SSODL: wvbegpqs - {F5C4A19C-A29C-4CD1-A45B-C02E6ADCED37} - (no file) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: OneStepSearch Service - OneStepSearch.net, Inc. - C:\Programme\OneStep\onestep.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe -- End of file - 6081 bytes |
28.10.2008, 12:03 | #2 |
/// AVZ-Toolkit Guru | total secure 2009, virus alert und popups.. Halli hallo SoNiC FReaK
__________________ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Scanne den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste wie immer die logs. Poste natürlich auch das Avast log.
__________________ |
28.10.2008, 16:53 | #3 |
| total secure 2009, virus alert und popups.. so alles erledigt..hier die logs:
__________________ComboFix 08-10-27.05 - David 2008-10-28 12:36:42.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.501 [GMT 1:00] . Die folgenden Dateien wurden während des Laufs deaktiviert: C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat C:\WINXP\k.txt C:\WINXP\system32\drivers\TDSSmxoe.sys C:\WINXP\system32\efcASjkk.dll C:\WINXP\system32\hiliqusx.dll C:\WINXP\system32\lmTwwyay.ini C:\WINXP\system32\lmTwwyay.ini2 C:\WINXP\system32\mkndstvb.dll C:\WINXP\system32\msssc.dll C:\WINXP\system32\qvkpfo.dll C:\WINXP\system32\TDSScrxx.dll C:\WINXP\system32\TDSSehys.dll C:\WINXP\system32\TDSSitpe.dat C:\WINXP\system32\TDSSlubs.log C:\WINXP\system32\TDSSncur.dll C:\WINXP\system32\TDSSnmxh.log C:\WINXP\system32\TDSSoipa.dll C:\WINXP\system32\TDSSoiqh.dll C:\WINXP\system32\TDSSqxgx.dll C:\WINXP\system32\TDSSsahc.dll C:\WINXP\system32\TDSSwgod.log C:\WINXP\system32\TDSSyavu.dll C:\WINXP\system32\uwihlglv.ini C:\WINXP\system32\vlglhiwu.dll C:\WINXP\system32\vubtqk.dll C:\WINXP\system32\xsuqilih.ini C:\WINXP\system32\xvdkpyts.dll C:\WINXP\system32\xxywWoLb.dll C:\WINXP\system32\yaywwTml.dll ----- BITS: Eventuell infizierte Webseiten ----- hxxp://megauplinkbindinstaller.com . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_TDSSserv -------\Legacy_TDSSserv -------\Service_TDSSserv.sys ((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-28 )))))))))))))))))))))))))))))) . 2008-10-28 12:26 . 2008-10-28 12:26 <DIR> d-------- C:\Programme\CCleaner 2008-10-28 04:30 . 2008-10-28 04:30 <DIR> d-------- C:\Programme\Trend Micro 2008-10-28 02:38 . 2008-10-28 02:38 <DIR> d-------- C:\Programme\Enigma Software Group 2008-10-28 02:26 . 2008-10-28 02:26 <DIR> d--h----- C:\WINXP\system32\GroupPolicy 2008-10-28 01:03 . 2008-10-28 01:03 <DIR> d-------- C:\Programme\Alwil Software 2008-10-28 01:03 . 2003-03-18 21:20 1,060,864 --a------ C:\WINXP\system32\MFC71.dll 2008-10-28 01:03 . 2003-03-18 20:14 499,712 --a------ C:\WINXP\system32\MSVCP71.dll 2008-10-28 01:03 . 2003-02-21 04:42 348,160 --a------ C:\WINXP\system32\MSVCR71.dll 2008-10-28 01:02 . 2008-10-27 18:54 327,680 --a------ C:\wfexqnrp.dll 2008-10-28 00:58 . 2008-10-28 00:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet 2008-10-28 00:53 . 2008-10-28 00:53 <DIR> d-------- C:\Programme\Adobe Media Player 2008-10-28 00:51 . 2008-10-28 00:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR 2008-10-28 00:46 . 2008-10-28 00:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared 2008-10-28 00:42 . 2008-10-28 00:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-10-28 00:05 . 2008-10-28 00:05 <DIR> d-------- C:\WINXP\Sun 2008-10-27 16:47 . 2008-10-28 03:51 <DIR> d-------- C:\Programme\OneStep 2008-10-27 03:40 . 2008-10-27 03:40 <DIR> d-------- C:\Programme\Java 2008-10-27 03:40 . 2008-10-27 03:40 410,976 --a------ C:\WINXP\system32\deploytk.dll 2008-10-27 03:40 . 2008-10-27 03:40 73,728 --a------ C:\WINXP\system32\javacpl.cpl 2008-10-27 00:57 . 2008-10-27 00:58 <DIR> d-------- C:\Programme\ICQ6 2008-10-27 00:57 . 2008-10-27 00:58 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\ICQ 2008-10-27 00:17 . 2008-10-27 00:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm 2008-10-26 23:57 . 2008-10-26 23:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus! 2008-10-26 23:55 . 2008-10-26 23:55 <DIR> d-------- C:\Programme\Analog Devices 2008-10-26 23:42 . 2008-10-26 23:42 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-10-26 23:42 . 2008-10-26 23:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software 2008-10-26 23:42 . 2008-10-26 23:42 361,728 --a------ C:\WINXP\system32\TuneUpDefragService.exe 2008-10-26 23:42 . 2008-07-18 15:05 28,416 --a------ C:\WINXP\system32\uxtuneup.dll 2008-10-26 23:41 . 2008-10-26 23:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-10-26 23:04 . 2008-10-26 23:04 <DIR> d-------- C:\Dokumente und Einstellungen\David\Anwendungsdaten\TuneUp Software 2008-10-26 23:02 . 2008-10-26 23:02 <DIR> d-------- C:\Programme\Messenger Plus! Live . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-26 23:58 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-10-26 21:51 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-10-26 21:51 --------- d-----w C:\Programme\Windows Live 2008-10-26 21:48 19,456 ----a-w C:\WINXP\system32\mdhcp32.dll 2008-10-26 21:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-10-26 21:45 --------- d-----w C:\Dokumente und Einstellungen\David\Anwendungsdaten\ATI 2008-10-26 21:42 --------- d-----w C:\Programme\ATI Technologies 2008-10-26 21:34 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-10-26 21:00 --------- d-----w C:\Programme\microsoft frontpage 2008-10-26 20:57 --------- d-----w C:\Programme\Online-Dienste 2008-10-26 20:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2008-10-26 20:54 --------- d-----w C:\Programme\Windows Media Connect 2 2008-09-15 15:24 1,846,528 ----a-w C:\WINXP\system32\win32k.sys 2008-09-08 10:41 333,824 ----a-w C:\WINXP\system32\drivers\srv.sys 2008-08-26 07:57 826,368 ----a-w C:\WINXP\system32\wininet.dll 2008-08-14 13:19 2,191,488 ----a-w C:\WINXP\system32\ntoskrnl.exe 2008-08-14 13:19 2,068,352 ----a-w C:\WINXP\system32\ntkrnlpa.exe 2008-07-31 09:16 947,472 ----a-w C:\WINXP\system32\msjava.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINXP\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2002-11-08 98304] "SunJavaUpdateSched"="C:\Programme\Java\jre6\bin\jusched.exe" [2008-10-27 136600] "AdobeCS4ServiceManager"="C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] "SpyHunter Security Suite"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-09-10 864256] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "wfexqnrp"= {954EFA65-866E-480B-BFA7-A1C3721E7DCA} - \wfexqnrp.dll [2008-10-27 327680] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=vubtqk.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R1 aswSP;avast! Self Protection;C:\WINXP\system32\drivers\aswSP.sys [2008-07-19 78416] R2 adfs;adfs;C:\WINXP\system32\drivers\adfs.sys [2008-08-14 74720] R2 aswFsBlk;aswFsBlk;C:\WINXP\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 JavaQuickStarterService;Java Quick Starter;C:\Programme\Java\jre6\bin\jqs.exe [2008-10-27 152984] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINXP\System32\svchost.exe [2008-04-14 14336] S2 OneStepSearch Service;OneStepSearch Service;C:\Programme\OneStep\onestep.exe C:\Programme\OneStep\onestep.dll Service [ ] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINXP\System32\TuneUpDefragService.exe [2008-10-26 361728] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2b4e9d-a39f-11dd-8c3f-806d6172696f}] \Shell\AutoRun\command - D:\setup.exe . Inhalt des "geplante Tasks" Ordners 2008-10-28 C:\WINXP\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{549234af-287a-4d44-b2a7-fd9f504c8383} - C:\WINXP\system32\vubtqk.dll BHO-{ADEFE9B7-FEF0-464A-9D84-843E1FB5EA28} - C:\WINXP\system32\xxywWoLb.dll BHO-{FA848403-198C-40EC-911B-0B6F37CD8414} - C:\WINXP\system32\yaywwTml.dll ShellExecuteHooks-{ADEFE9B7-FEF0-464A-9D84-843E1FB5EA28} - C:\WINXP\system32\xxywWoLb.dll SSODL-wvbegpqs-{F5C4A19C-A29C-4CD1-A45B-C02E6ADCED37} - (no file) SafeBoot-TDSSmxoe.sys . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\David\Anwendungsdaten\Mozilla\Firefox\Profiles\h6b2yg03.default\ FF -: plugin - C:\Programme\Java\jre6\bin\new_plugin\npdeploytk.dll FF -: plugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npdeploytk.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-28 12:41:41 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- Prozess: C:\WINXP\system32\winlogon.exe -> C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll Prozess: C:\WINXP\system32\lsass.exe -> C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll Prozess: C:\WINXP\explorer.exe -> C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll . ------------------------ Weitere laufende Prozesse ------------------------ . C:\WINXP\system32\ati2evxx.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\WINXP\system32\ati2evxx.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINXP\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-10-28 12:45:07 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-10-28 11:44:58 Vor Suchlauf: 10 Verzeichnis(se), 147,332,186,112 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 147,311,775,744 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINXP [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 206 --- E O F --- 2008-10-27 02:03:31 SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 10/28/2008 at 01:52 PM Application Version : 4.21.1004 Core Rules Database Version : 3611 Trace Rules Database Version: 1597 Scan type : Complete Scan Total Scan Time : 00:56:18 Memory items scanned : 522 Memory threats detected : 1 Registry items scanned : 3946 Registry threats detected : 6 File items scanned : 104987 File threats detected : 17 Adware.Vundo-Variant/J C:\WFEXQNRP.DLL C:\WFEXQNRP.DLL Trojan.FakeAlert-MinimoX HKLM\Software\Classes\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12} HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12} HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}\ProgID HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}\Programmable HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}\TypeLib HKCR\CLSID\{C420CF9F-D9D6-421F-958F-AA59906C2B12}\VersionIndependentProgID Rogue.TotalSecure2009 C:\Dokumente und Einstellungen\David\Desktop\Total Secure 2009.lnk Adware.OneStepSearch C:\PROGRAMME\ONESTEP\ONESTEP.EXE C:\PROGRAMME\ONESTEP\OSOPT.EXE C:\PROGRAMME\ONESTEP\UNINSTALL.EXE D:\PROGRAMME\ONESTEP\ONESTEP.DLL D:\PROGRAMME\ONESTEP\ONESTEP.EXE D:\PROGRAMME\ONESTEP\OSOPT.EXE D:\PROGRAMME\ONESTEP\UNINSTALL.EXE C:\WINXP\Prefetch\ONESTEP.EXE-0BB18C16.pf Adware.Vundo/Variant C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002134.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002125.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002127.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002128.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002131.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002133.DLL C:\SYSTEM VOLUME INFORMATION\_RESTORE{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002135.DLL Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1332 Windows 5.1.2600 Service Pack 3 28.10.2008 16:51:46 mbam-log-2008-10-28 (16-51-46).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 139260 Laufzeit: 56 minute(s), 42 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 1 Infizierte Dateien: 14 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\lospn (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\lsksaq.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\wvfsrqab.brso (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\wvfsrqab.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c031ad2a-dee0-42c7-ba31-ce21ae4ae057} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d71c4af2-9e0d-4eb3-98a6-f542e6f360d9} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{e52c17c7-8498-4d09-93b8-0c9227d10aeb} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{b63a6129-3d5f-4c11-b0e0-379d0737cbe0} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c420cf9f-d9d6-421f-958f-aa59906c2b12} (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wfexqnrp (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76497-648-4692581-23689) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Programme\OneStep (Adware.OneStepSearch) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Qoobox\Quarantine\C\WINXP\system32\efcASjkk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINXP\system32\hiliqusx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINXP\system32\mkndstvb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINXP\system32\qvkpfo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINXP\system32\vlglhiwu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINXP\system32\vubtqk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINXP\system32\xvdkpyts.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINXP\system32\xxywWoLb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINXP\system32\yaywwTml.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002126.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002130.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{8EC156DF-293E-421F-9F22-31070070D75E}\RP8\A0002139.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Programme\OneStep\home.js (Adware.OneStepSearch) -> Quarantined and deleted successfully. C:\Programme\OneStep\readme.html (Adware.OneStepSearch) -> Quarantined and deleted successfully. |
28.10.2008, 19:03 | #4 | |
/// AVZ-Toolkit Guru | total secure 2009, virus alert und popups.. ayaya.. Wenn dir irgendwas an deiner Privatsphäre und Sicherheit im WorldWideWeb liegt dann solltest du den Rechner dringend neuaufsetzen! Bereinigung nach einer Kompromitierung Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
Themen zu total secure 2009, virus alert und popups.. |
alert, antivirus, avast, avast!, einschränkungen, enigma, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, mozilla, outlook express, problem, programm, programme, registry, security, security suite, software, spyware, tan, tuneup.defrag, viren, viren usw., virus, virus alert, virus alert!, virus eingefangen, windows, windows xp, windows xp sp3, xp sp3 |