Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Totale Verseuchung (?)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 17.04.2009, 11:23   #1
Gerrit07
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Hallo. Bin mal wieder da...

Beim Computer meines Kollegen geht das Internet nicht mehr und auch ansonsten ist das Ding seiner Ansicht nach langsamer geworden. Er hat wohl gestern eine Meldung von Windows bekommen, dass sein Computer aus irgendeinem Grund "isoliert" wird (leider hat er keine Ahnung von Computern und daher der Meldung auch keine besondere Aufmerksamkeit geschenkt).

Naja jedenfalls habe ich ein HiiJack Scan gemacht und dies ist das Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:49, on 17.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
M:\****\Trojaner-Tools\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVK Client] "C:\Programme\G DATA\AVKClient\AVKCl.exe" /GUI
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://server2003/connectcomputer/nshelp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://**.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117177643765
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = b***.local
O17 - HKLM\Software\..\Telephony: DomainName = b***.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = b***.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = b***.local
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: G DATA AntiVirus Client (AntiVirusKit Client) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AvkCl.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AVKClient\AVKWCtl.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\1\HPZipm12.exe (file missing)

--
End of file - 4568 bytes
         
Hab nach vielem Hin- und Her, abgesichertem Modus, Umbennen usw. auch Malwarebytes zum Laufen bekommen und das Ergebnis was alles andere als gut:

Code:
ATTFilter
Quickscan:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

17.04.2009 12:09:53
mbam-log-2009-04-17 (12-09-34).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 90169
Laufzeit: 3 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\UACdkepjpkb.dll (Trojan.TDSS) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\UACdkepjpkb.dll (Trojan.TDSS) -> No action taken.
C:\Windows\system32\UACdhsulhho.dll (Trojan.TDSS) -> No action taken.
C:\Windows\system32\UACdkepjpkb.dll (Trojan.TDSS) -> No action taken.
C:\Windows\system32\UACsdesbivn.dll (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> No action taken.
C:\Windows\system32\UAClmkoogoe.dll (Trojan.Agent) -> No action taken.
C:\Windows\system32\UACnkdpwppq.dll (Trojan.Agent) -> No action taken.
C:\Windows\system32\UACovrjomkb.log (Trojan.Agent) -> No action taken.
C:\Windows\system32\UACrvxfumqf.dll (Trojan.Agent) -> No action taken.
C:\Windows\system32\UACwakbirjx.dat (Trojan.Agent) -> No action taken.
C:\Windows\system32\drivers\UACbqaqpqjv.sys (Trojan.Agent) -> No action taken.
         
Ein ausführlicher Scan wird derzeit ausgeführt. Hab bisher noch nichts mit den infizierten Dateien gemacht. Warte lieber auf Anweisung.

Achja, vor dem hiJack habe ich CCleaner drüber laufen lassen.

Das war's schon.
Vielen dank für eure Mühe im Voraus!

Gruß,
Gerrit.

Alt 17.04.2009, 12:28   #2
DJ-D
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)





Wenn der vollständige Scan fertig ist, klicke auf "Ausgewählte entfernen".
Lade Dir danach Gmer runter, und führe einen Scan aus, schicke uns danach das Log.
__________________

__________________

Alt 17.04.2009, 12:31   #3
Gerrit07
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Sorry für die blöde Frage, aber ich hab den Punkt "entfernen" dort nirgends gefunden. Kannst du mir sagen, wo der ist?
__________________

Alt 17.04.2009, 12:38   #4
DJ-D
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Hier ist eine Anleitung: Anleitung

Weiter unten steht doch etwas mit "Ausgewälte entfernen." Wenn Du das Bild in der Anleitung siehst, wirst Du sicher wissen was ich meine.
__________________
MfG. Daniel


Ein Keygen kommt selten allein....

Alt 17.04.2009, 13:08   #5
Gerrit07
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Ok, hab's gefunden. *vordiestirnschlag*

Er konnte einige Dateien nicht entfernen und hat vorgeschlagen, den Computer neu zu starten wegen Löschen beim Neustart.

Hier ist das Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

17.04.2009 13:56:57
mbam-log-2009-04-17 (13-56-57).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 133947
Laufzeit: 23 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
\\?\globalroot\systemroot\system32\UACdkepjpkb.dll (Trojan.TDSS) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
\\?\globalroot\systemroot\system32\UACdkepjpkb.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Windows\system32\UACdhsulhho.dll (Trojan.TDSS) -> Delete on reboot.
C:\Windows\system32\UACdkepjpkb.dll (Trojan.TDSS) -> Delete on reboot.
C:\Windows\system32\UACsdesbivn.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UAClmkoogoe.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UACnkdpwppq.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UACovrjomkb.log (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UACrvxfumqf.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\UACwakbirjx.dat (Trojan.Agent) -> Delete on reboot.
C:\Windows\system32\drivers\UACbqaqpqjv.sys (Trojan.Agent) -> Delete on reboot.
         
Danke schonmal für deine Hilfe!!!


Alt 17.04.2009, 13:11   #6
DJ-D
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Hast Du einen Neustart gemacht?
__________________
--> Totale Verseuchung (?)

Alt 17.04.2009, 13:13   #7
Gerrit07
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Ja, habe ich.

Alt 17.04.2009, 13:18   #8
DJ-D
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Gut.

Lade Dir nun


Superantispyware herunter, und mache einen Scan. Danach schicke uns einen Log
__________________
MfG. Daniel


Ein Keygen kommt selten allein....

Alt 17.04.2009, 13:23   #9
Gerrit07
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Kann ich das Programm nach der Aktualisierung auf einen anderen PC ziehen? Das Problem ist: Ich lade die Programme hier herunter und führe sie auf dem PC des Kollegen aus, da ja sein Internet zur Zeit nicht geht.

Alt 17.04.2009, 13:27   #10
DJ-D
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Kopiere mal den ganzen Ordner unter:
Code:
ATTFilter
C:\Programme\SUPERAntiSpyware
         
auf seinen PC, NACH dem Update.

Dann speichere den Ordner bei ihm unter
Code:
ATTFilter
C:\Programme\*Hier den Ordner hin kopieren*
         

Müsste funktionieren.
__________________
MfG. Daniel


Ein Keygen kommt selten allein....

Alt 17.04.2009, 13:48   #11
Gerrit07
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Hi, ich kann den Scan jetzt nicht mehr zu Ende führen da ich weg muss. Bin auch erst Montag wieder online und kann dann weitermachen. Hilfst du mir dann wieder?

Nochmals danke und schönes Wochenende!

Alt 17.04.2009, 13:50   #12
DJ-D
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Werd ich machen.


Virenfreie Tage!
__________________
MfG. Daniel


Ein Keygen kommt selten allein....

Alt 20.04.2009, 08:42   #13
Gerrit07
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Guten Morgen!

SuperAntiSpyware hat nichts gefunden, das Log sieht daher so aus:

Code:
ATTFilter
SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 04/20/2009 bei 09:14 AM

Version der Applikation : 4.26.1000

Version der Kern-Datenbank : 3843
Version der Spur-Datenbank : 1798

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:47:32

Gescannte Speicherelemente  : 355
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4388
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 46371
Erfasste Datei-Elemente   : 0
         
Einen Scan im abgesicherten Modus habe ich nicht mehr gemacht (sind hier bei der Arbeit, daher setze ich den PC nur wenn unbedingt notwendig außer Gefecht )

Was nun?

(Internet geht immer noch nicht)

Nachtrag: der Internet-Explorer zeigt, egal welche Adresse ich eingebe, immer "Adresse ungültig" oder "Webseite kann nicht angezeigt werden".

Geändert von Gerrit07 (20.04.2009 um 09:15 Uhr) Grund: Nachtrag.

Alt 20.04.2009, 10:30   #14
Gerrit07
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



So, Problem (teilweise) selbst gelöst.

Sicherheitscenter war deaktiviert -> habe ich wieder aktiviert.

Outlook war auf offline -> auf online gestellt.

Bei den TCP/IP Einstellungen fehlte die DNS-Adresse -> eingetragen.

Outlook und IE gehen also wieder.

Soll ich noch irgendwas machen?

Alt 20.04.2009, 10:34   #15
Gerrit07
 
Totale Verseuchung (?) - Standard

Totale Verseuchung (?)



Es darf auch gerne jemand anderes sich damit beschäftigen

Antwort

Themen zu Totale Verseuchung (?)
adobe, antivirus, bho, computer, computern, dateien, disabled.securitycenter, explorer, g data, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, log, malwarebytes, malwarebytes' anti-malware, messenger, microsoft, object, programme, proxy, registrierungsschlüssel, rootkit.trace, scan, security, software, system, trojan.agent, trojan.tdss, windows, windows xp



Ähnliche Themen: Totale Verseuchung (?)


  1. Detekt meldet Verseuchung
    Log-Analyse und Auswertung - 25.11.2014 (8)
  2. Das Blackphone soll die totale Überwachung stoppen
    Nachrichten - 16.01.2014 (0)
  3. Trojaner Verseuchung
    Plagegeister aller Art und deren Bekämpfung - 16.05.2013 (9)
  4. Nach Verseuchung -Anzeige?
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (0)
  5. TR/Dropper.Gen + TR/Kryptik.EH.2' ? ~totale verzweiflung
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (19)
  6. unverschuldeter Trojaner befall...Totale PANIK!!!
    Log-Analyse und Auswertung - 23.02.2010 (1)
  7. Unbekannter Virus?? Totale Macken meines PC´s!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2009 (5)
  8. Mein Verseuchung...
    Mülltonne - 15.10.2008 (0)
  9. Die totale Katastrophe, bitte Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 07.02.2008 (17)
  10. Verdacht auf Verseuchung
    Mülltonne - 06.02.2008 (0)
  11. hartnäckige Verseuchung
    Log-Analyse und Auswertung - 17.08.2007 (8)
  12. Totale Verzweifelung mit SpyFalcon 2.0
    Log-Analyse und Auswertung - 16.03.2006 (2)
  13. Totale Seuche im System !!!
    Log-Analyse und Auswertung - 27.03.2005 (1)
  14. Trojaner Verseuchung!!! etc.
    Log-Analyse und Auswertung - 27.11.2004 (4)
  15. TOTALE CPU - Auslastung
    Log-Analyse und Auswertung - 28.10.2004 (1)
  16. Virus? Trojaner? - Totale Verzweiflung
    Plagegeister aller Art und deren Bekämpfung - 01.09.2004 (1)

Zum Thema Totale Verseuchung (?) - Hallo. Bin mal wieder da... Beim Computer meines Kollegen geht das Internet nicht mehr und auch ansonsten ist das Ding seiner Ansicht nach langsamer geworden. Er hat wohl gestern eine - Totale Verseuchung (?)...
Archiv
Du betrachtest: Totale Verseuchung (?) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.