Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: mysqld-nt.exe und gefälschte DNS

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.05.2009, 17:31   #1
Pandaren
 
mysqld-nt.exe und gefälschte DNS - Standard

mysqld-nt.exe und gefälschte DNS



Hallo,

ich hab mir die "Kaspersky 30 Tage Testversion" installiert und dann kamen einige Meldungen die mir zu denken geben...



Ich habe den Free Download Manager bei mir laufen und hab mir vor kurzen unter anderem auch die Datei "rag_setup1210.exe" runtergeladen.

Also klick ich, während Kaspersky läuft, aus versehen auf den Eintrag von der besagten Datei unter meinen Download Manager(Er startet die Datei nicht, sondern es wird einfach nur ausgewählt) und stelle fest das erst einmal mein Downloadmanager Internet haben möchte.... Aber das Ding ist, er verbindet auf "ragnarok2.kaspersky-labs.com". Vielleicht kennt jemand ja "Ragnarok Online", dass ist ein mmorpg und ich glaub kaum das die was mit Kaspersky am Hut haben... Also das macht mit schon mal Sorgen.

Dazu kommt noch das die ausgewählte Datei auch noch plötzlich etwas erstellen will und zwar die Datei "IFinst27.exe" und die Datei ist wie ich im Internet gelesen habe eine Malware.


Dann komm wir zum dritten seltsamen Punkt:
"MYSQLD-NT.EXE > Windows Explorer > Free Download Manager"

Was hat MYSQLD-NT.EXE bitte mit der Ausführung von von Windows Explorer zu tuen?

Ich dachte die Datei könnte infiziert sein, aber ich habe sie bereits auf Virustotal gescannt und kein Scanner hat zugeschlagen.

Aber nicht nur dort hat die Datei MYSQLD-NT.EXE etwas ausgeführt. Nein, so gut wie alles wird vorher von der Datei gesteuert. Aber was hat ein MySQL Programm mit den ausführen der Programme zu tun?

Also wäre echt nett wenn mir da jemand helfen kann, denn es scheint so als hätte ich mir eine/n ziemlich schlimmen Virus/Malware eingefangen.

Hier ist mein HijackThis-Log und Malwarebytes-Log.

HijackThis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:28, on 09.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\fast.exe
D:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\UltraMon\UltraMonTaskbar.exe
D:\Programme\Sandboxie\SbieCtrl.exe
D:\xampp\apache\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
D:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\xampp\mysql\bin\mysqld-nt.exe
D:\Spiele\Gravity\RO\nProtect\npkcmsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\Fast.exe
D:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
D:\xampp\apache\bin\apache.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\RocketDock\RocketDock.exe
D:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\programme\mozilla firefox\firefox.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - D:\Programme\Styler\TB\StylerTB.dll
O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing)
O3 - Toolbar: QT Tab Standard Buttons - {d2bf470e-ed1c-487f-a666-2bd8835eb6ce} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [UltraMon] "D:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [cftmon] C:\WINDOWS\system32\cmdkay.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] "D:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [uTorrent] "D:\Programme\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [feedreader.exe] "D:\Programme\FeedReader30\feedreader.exe"
O4 - HKCU\..\Run: [Mal Updater 2] D:\Programme\Mal Updater 2\MalUpdater.exe
O4 - HKCU\..\Run: [RouterControl] D:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [POP Peeper] "D:\Programme\POP Peeper\POPPeeper.exe" -min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = D:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: Styler.lnk = ?
O4 - Startup: Vista & XP Virtual Desktops.lnk = ?
O4 - User Startup: Stardock ObjectDock.lnk = D:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - User Startup: Styler.lnk = ?
O4 - User Startup: Vista & XP Virtual Desktops.lnk = ?
O4 - Global Startup: MAL Updater.lnk = D:\Programme\Mal Updater 2\MalUpdater.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: Statistik fur den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: d:\programme\vmware\vmware workstation\vsocklib.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Fences - {EC654325-1273-C2A9-2B7C-45A29BCE2FBD} - D:\Programme\Stardock\Fences\DesktopDock.dll
O22 - SharedTaskScheduler: Deskscapes - {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - D:\Programme\Stardock\Object Desktop\DeskScapes\deskscapes.dll
O22 - SharedTaskScheduler: Stardock Vista ControlPanel Extension - {EC654325-1273-C2A9-2B7C-45D29BCE68FD} - D:\Programme\Stardock\Object Desktop\DeskScapes\DesktopControlPanel.dll
O22 - SharedTaskScheduler: StardockDreamController - {EC654325-1273-C2A9-2B7C-45D29BCE68FF} - D:\Programme\Stardock\Object Desktop\DeskScapes\DreamControl.dll
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - D:\Spiele\Gravity\RO\nProtect\npkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 10076 bytes
         
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2099
Windows 5.1.2600 Service Pack 3

09.05.2009 17:52:07
mbam-log-2009-05-09 (17-52-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 384988
Laufzeit: 1 hour(s), 0 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\Downloads\Firefox\Internet_TV_Setup.exe (Rogue.Installer) -> No action taken.
         
Danke für jede Hilfe

Geändert von Pandaren (09.05.2009 um 17:49 Uhr)

Antwort

Themen zu mysqld-nt.exe und gefälschte DNS
avp, bho, bonjour, disabled.securitycenter, dll, download, explorer, firefox, free download, hijack, hkus\s-1-5-18, infiziert, internet, internet explorer, internet security, kaspersky, malwarebytes' anti-malware, mozilla, nvidia, programm, programme, registrierungsschlüssel, rundll, schutz, security, skype.exe, software, system, vista, windows, windows xp



Ähnliche Themen: mysqld-nt.exe und gefälschte DNS


  1. Gefälschte DHL-Email und (schädliche?) Infektion
    Plagegeister aller Art und deren Bekämpfung - 16.10.2015 (3)
  2. Gefälschte Telekom Email geöffnet
    Plagegeister aller Art und deren Bekämpfung - 28.11.2014 (7)
  3. Gefälschte Rechnung von 1&1 geöffnet
    Plagegeister aller Art und deren Bekämpfung - 23.11.2014 (9)
  4. gefälschte Vodafone-Rechnung
    Plagegeister aller Art und deren Bekämpfung - 20.11.2014 (11)
  5. Gefälschte Rechnung geöffnet (rtf Datei)
    Log-Analyse und Auswertung - 07.08.2014 (5)
  6. gefälschte Telekomrechnung
    Plagegeister aller Art und deren Bekämpfung - 17.01.2014 (1)
  7. gefälschte Telekom Email geöffnet
    Plagegeister aller Art und deren Bekämpfung - 09.01.2014 (1)
  8. TR/Kazy.249267, Win XP , Gefälschte Amazonmail
    Plagegeister aller Art und deren Bekämpfung - 19.09.2013 (11)
  9. Gefälschte SSL-Zertifikate wieder im Umlauf?
    Diskussionsforum - 01.08.2012 (0)
  10. Wahrscheinlich gefälschte malwarebytes-website?
    Antiviren-, Firewall- und andere Schutzprogramme - 25.03.2012 (5)
  11. mysqld-nt.exe verursacht 100% CPU auslastung
    Log-Analyse und Auswertung - 13.07.2009 (0)
  12. Gefälschte Email
    Plagegeister aller Art und deren Bekämpfung - 17.09.2008 (3)
  13. AW: Achtung: Gefälschte 1&1-Mails!
    Plagegeister aller Art und deren Bekämpfung - 10.03.2007 (2)
  14. Achtung: Gefälschte 1&1-Mails!
    Plagegeister aller Art und deren Bekämpfung - 01.03.2007 (30)
  15. Gefälschte GEZ-Rechnungen im Umlauf!
    Plagegeister aller Art und deren Bekämpfung - 25.01.2007 (8)
  16. AW: Achtung: Gefälschte 1&1-Mails!
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (1)
  17. AW: Achtung: Gefälschte 1&1-Mails!
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (1)

Zum Thema mysqld-nt.exe und gefälschte DNS - Hallo, ich hab mir die "Kaspersky 30 Tage Testversion" installiert und dann kamen einige Meldungen die mir zu denken geben... Ich habe den Free Download Manager bei mir laufen und - mysqld-nt.exe und gefälschte DNS...
Archiv
Du betrachtest: mysqld-nt.exe und gefälschte DNS auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.