Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ld11.exe (Worm.Koobface) bitte um logauswertung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 30.06.2009, 22:32   #1
cotton
 
ld11.exe (Worm.Koobface) bitte um logauswertung - Beitrag

ld11.exe (Worm.Koobface) bitte um logauswertung



Nun hats mich erwischt
Bin aber selbst Schuld. Ich versuche mich kurz zu fassen:

- Hab eine Datei geöffnet (setup.exe)
- zuvor habe ich diese Datei extra mit Avira AV UND bei jotti online scannen lassen. Ergebniss = nichts gefunden
- nach dem Öffnen der Datei verschwand diese, und schon wusste ich - hier stimmt was nicht
(keine Auffälligkeiten)
BTW: ich bin absolut wieder FÜR personal Firewalls! Denn ZA hat den zugriff nach draussen angezeigt, was ich dann unterbunden hab.
ich denke dadurch wurde mir schlimmeres erspart!


- im Taskmanager fand ich diese "ld11.exe".
- diese hab ich dann beendet
- sie befand sich in C/Windows -> erstmal umbenannt
- mit jotti (nochmal) scannen lassen = nichts
- mit virustotal scannen lassen = heuristischer treffer und "Worm.Koobface" als Ergebnis
- Mit HijachThis -> log selbst versucht auszuwerten und automatische auswertung = nichts

- Diese Datei (ld11.exe) zu Avira hochgeladen, zur Analyse - noch kein Ergebnis, aber da ich freeUser bin, kommt wohl auch nix.

- Über google einiges gelesen, SuperAntiSpyware und Malewarebytes komplett durchlaufen lassen. (beides nach Anleitung hier)

und nach der Anleitung von SUPERAntiSpyware kommt nun hier der Post mit dem Log.
(bei der Anleitung steht nicht bei, was nach dem scan gemacht werden muss. Die gefundenen Dateien werden ja bei "weiter" in Quarantäne verschonen. Das hab ich dann auch gemacht)

Ich mal eine Diskusion hier onBoard gelesen, als jemand bemängelte, dass jemand schon (zb) die Systemwiederherstellung deaktiviert hat. (usw)
Daher - ich habe NICHT die Systemwiederherstellung deaktiviert usw ....
Daher - habe ich NICHT CCleaner laufen lassen
---------------------------------------------
ok, dann also hier die Malewarebytes-Log:
Zitat:
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2356
Windows 5.1.2600 Service Pack 3

30.06.2009 21:38:25
mbam-log-2009-06-30 (21-38-25).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 281841
Laufzeit: 1 hour(s), 43 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\ld11.exe (Worm.Koobface) -> Not selected for removal. <<<<< EDIT: dewegen nicht, weil SUPERAntiSpyware diesen dann gelöscht hat (liefen beide Programme (ohne probleme) nebeneinander.
und hier die SUPERAntiSpyware-Log:
Zitat:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 06/30/2009 at 09:29 PM

Application Version : 4.26.1006

Core Rules Database Version : 3963
Trace Rules Database Version: 1904

Scan type : Complete Scan
Total Scan Time : 02:03:08

Memory items scanned : 480
Memory threats detected : 0
Registry items scanned : 5324
Registry threats detected : 0
File items scanned : 170936
File threats detected : 32

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\admin\Cookies\admin@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@www.traffictrack[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@ad1.king[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@atwola[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@a2.adserver01[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@webmasterplan[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@ad.zanox[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@zanox[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@media6degrees[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@questionmarket[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@www.etracker[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@serving-sys[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@microsoftmachinetranslation.112.2o7[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@2o7[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@komtrack[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@traffictrack[2].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@adtech[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\admin\Cookies\admin@snapfish.112.2o7[1].txt

Trojan.Agent/Gen-FraudDrop
C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\OPERA\OPERA\PROFILE\CACHE4\OPR09I3G
C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\OPERA\OPERA\PROFILE\CACHE4\OPR09J19
C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\OPERA\OPERA\PROFILE\CACHE4\OPR09J7I
C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\DESKTOP\SETUP.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{C392B08E-6C40-4679-BB92-C32AAFE9843F}\RP59\A0020866.EXE

Trojan.Downloader-Gen/Suspicious
C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\OPERA\OPERA\PROFILE\CACHE4\OPR09J88
C:\DOKUMENTE UND EINSTELLUNGEN\ADMIN\DESKTOP\MBR.EXE

Trojan.Dropper/Win-NV
C:\WINDOWS\LD11.EXE
und die Log der MBR.exe (hab ich schon in nem thema hier gelesen, dass es evtl gebraucht wird.
Zitat:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
nun noch die HJT-Log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:23:03, on 30.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe <<< EDIT: online scannen lassen = nix
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\EXPERTool\TBPANEL.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Logitech\Video\FxSvr2.exe <<< EDIT: online scannen lassen = nix
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [GAINWARD] C:\Programme\EXPERTool\TBPANEL.exe /A
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1244938384062
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe <<< EDIT: online scannen lassen = nix
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe <<< EDIT: online scannen lassen = nix
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7030 bytes
und noch die list mit den programmen:
Zitat:
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.1 - Deutsch
Adobe Shockwave Player 11.5
AGEIA PhysX v7.07.09
Ares Tube 3.2
ASIO4ALL
Audacity 1.3.6 (Unicode)
AVI Splitter
Avira AntiVir Personal - Free Antivirus
Battlefield 2: Complete Collection
Blue Cat's Stereo Chorus - DX
BlueCat's Chorus - DX
BlueCat's Flanger - DX
BlueCat's Phaser - DX
BlueCat's StereoFlanger - DX
CCleaner (remove only)
ClearProg 1.5.0 Final
CloneCD
Collab
Command & Conquer Alarmstufe Rot 2
Command && Conquer Alarmstufe Rot 2 - Yuris Rache
CPU-Control
Crysis(R) SP Demo
DAEMON Tools Toolbar
Data Lifeguard Tools
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DreamStation DXi2
DualCoreCenter
DVD Shrink 3.2 deutsch
EA Download Manager
EASEUS Partition Master 4.0 Home Edition
Emu64
EVEREST Home Edition v2.20
EXPERTool 6.7
Firebird SQL Server - MAGIX Edition
FL Studio 8
Folding@home-x86
Free Download Manager 3.0
GameSpy Arcade
Gemeinsam genutzte Internet-Komponenten von Westwood
GIMP 2.6.5
GSplit 2.1
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hurrican 1.0.0.4
ICQ6.5
IL Download Manager
InterVideo WinDVD 4
IrfanView (remove only)
Java(TM) 6 Update 13
Java(TM) 6 Update 7
JMB36X Raid Configurer
L&H TTS3000 Deutsch
Lexmark X73
Live 8.0.2
Logitech Desktop Messenger
Logitech Gaming Software 5.02
Logitech Print Service
Logitech QuickCam-Software
Logitech® Camera-Treiber
MAGIX Music Maker 15 Premium Trial 15.0.1.5 (D)
MAGIX music maker generation 6
MAGIX music studio generation 6
MAGIX Online Druck Service (D)
MAGIX Screenshare 4.3.6.1987 (D)
Malwarebytes' Anti-Malware
Medal of Honor Airborne Demo
MGI PhotoSuite 8.1 (nur entfernen)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Games for Windows - LIVE Redistributable
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft SQL Server Desktop Engine (PINNACLESYS)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.10)
MSI Live Update 3
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB927977)
Nero OEM
NVIDIA Drivers
Office-Web Center
OpenAL
OpenOffice.org 3.1
Opera 9.64
Paint.NET v3.36
Paragon Drive Backup™ 9.0 Express
PC Inspector File Recovery
PCTV USB2
phonostar-Player Version 2.01.5
PunkBuster Services
QuickTime
RealPlayer
RealSpeak Solo fur Deutsch - Steffi
Realtek High Definition Audio Driver
Shockvoice Client 0.8.4 beta
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB963027)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Skype™ 4.0
SpeedFan (remove only)
Spybot - Search & Destroy
SRS WOW HD for ViewSonic
SUPERAntiSpyware Free Edition
Sweet Home 3D version 1.6
System Requirements Lab
Takatis - A Tribute To Manfred Trenz
TeamSpeak 2 RC2
TeamViewer 4
Text-To-Speech-Runtime
Toxic Biohazard
Ulead GIF Animator Lite Edition 1.0
Update für Windows Internet Explorer 8 (KB969497)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VC80CRTRedist - 8.0.50727.762
ViewSonic Monitor Drivers
ViewSonic Monitor Drivers
WD Diagnostics
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Imaging Component
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows XP Service Pack 3
WinPcap 4.1 beta5
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
ZoneAlarm
Wärend der scanns brachte mir antivir noch mehrere meldungen über:
- tr/crypt.xpack.gen (gefunden in system volumen information auf H:, was eine alte zusätzliche platte ist)
- tr/dropper.gen > mehrmals (gefunden in system volumen information auf H:, was eine alte zusätzliche platte ist)
- spr/bruteforce.g-programmes (gefunden in system volumen information auf G:, was die gleiche alte zusätzliche platte ist (2.partition))
- tr/rootkit.gen (gefunden in system volumen information auf H:, was eine alte zusätzliche platte ist)

diese alle wurden in die quarantäne verschoben. seid dem ist es still.

ich bin ja selbst immer der meinung - bei fund > neuaufsetzen.
das problem ist nur, dass ich zb viele viele musikdateien(band usw) hab, und zb ein spiel, das über EA mit nem downloadmanager installiert wurde - bei dem ich nicht weiss, ob ich es irgentwie auf cd bekomme.
was sonst im prinzip ne 15min sache ist(sicherung zurückspielen), sind hier gleich etliche GB ... das dauert ewig -.-

so. danke im voraus. hoffe ihr seht durch. ich hab glaub ich 2-3 h gebraucht um das hier zu erstellen , hab aber dabei auch selbst immerwieder dateien hochgeladen ect.
gruss,
cotton

PS: um missverständnisse gleich aus dem weg zu räumen - ich nutze DAEMON Tools um ISOs meiner CDs einzulesen. Wer Spiele kennt, die lautstark von CD lesen, weiss was ich meine.

Alt 30.06.2009, 23:44   #2
Kaos
 
ld11.exe (Worm.Koobface) bitte um logauswertung - Standard

ld11.exe (Worm.Koobface) bitte um logauswertung



Das ist natürlich ärgerlich und wieder ein Beweis dafür, dass man sich auf Virenscanner nicht absolut verlassen kann.

Die von dir gescannten Dateien aus dem HijackThis-Log sollten völlig in Ordnung sein.

Das meiste sollte bereits entfernt worden sein. Ich gehe mal davon aus, dass du Avira auf aggressiv eingestellt hast. Du könntest dein System noch mit Dr. Web CureIt und PrevX scannen.

Mit Gmer nach Rootkits scannen kann auch nicht schaden. Ich denke mal du weißt wie das funktioniert

Daemon-Toolz..... Naja, wenn dich nur der Krach des Cd-Laufwerkes stört benutzt doch das Programm CD-Bremse.

mfg, Kaos
__________________


Alt 01.07.2009, 15:18   #3
cotton
 
ld11.exe (Worm.Koobface) bitte um logauswertung - Standard

ld11.exe (Worm.Koobface) bitte um logauswertung



danke Kaos,

hab gerade post von avira bekommen. hät ich garnich gedacht, dass freeuser antwort bekommen
Zitat:
Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: *******



Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25385744 ld11.exe 17 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

Dateiname Ergebnis
ld11.exe MALWARE

Die Datei 'ld11.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen Worm/Koobface.17408D gegeben. Bei der Bezeichnung "WORM/" handelt es sich um einen Wurm, welcher in der Lage ist sich z.B. über das Internet (Emailversand, Peer-To-Peer Netzwerke, IRC Netzwerke, etc.) oder dem Intranet selbsttätig zu verbreiten.Ein Erkennungsmuster ist mit Version 7.01.04.160 der Virendefinitionsdatei (VDF) hinzugefügt.
Nicht schlecht! Aber so sollte es ja auch sein

zu PrevX kann ich nur sagen - panikmacher. läuft ja wohl über ne art onlinescan. als ich dann die kaufversion bestellen sollte, weil ich irgentwo in den windows-games "infected" bin ... naja ....

Gmer und Dr. Web werd ich noch durchlaufen lassen.
Zitat:
Das meiste sollte bereits entfernt worden sein. Ich gehe mal davon aus, dass du Avira auf aggressiv eingestellt hast.
hoffe ich, und zu avira = ja
Zitat:
Das ist natürlich ärgerlich und wieder ein Beweis dafür, ...
aber echt! vorallem ich hätte es besser wissen müssen
weiss nicht, was mich geritten hat. warscheinlich zu wenig kaffee.#
Zitat:
Daemon-Toolz..... Naja, wenn dich nur der Krach des Cd-Laufwerkes stört benutzt doch das Programm CD-Bremse.
ja, kenn ich. aber dann sind ja immernoch cds im laufwerk.
ich find es ist eine spitzen "erfindung", dass man seine cds als iso einlesen kann. sämtliche cds liegen im schrank. und wenn ich eine brauch, such ich im ordner - nicht im schrank - was sehr viel schneller geht.
und ich brauch nicht aufstehn

wenn also in den logs nichts zu finden ist, geh ich mal davon aus, dass vorerst nichts weiter "passiert" ist.
der paranoide in mir will aber - in ruhe daten sichern, onlinebanking vom anderen rechner, und den rechner dann doch platt machen

und da kommt mir eine frage, die ich mir selbst nicht beantworten kann:

-ich hab die betroffene HDD (640GB) mit partition C:
- die gleiche HDD mit partition I: (300 C/300 I)
- auf C: ist das infected xp, und auf I: habe ich vor ~5 tagen xp neuinstalliert (soll mal 1xp für games und Inet, und das andere für musik-progs usw werden)

sollte ich das neuinstallierte xp auf I: auch platt machen? oder ist es ausgeschlossen, dass da was "drin ist"?

danke,
cotton
__________________

Alt 15.07.2009, 01:25   #4
cotton
 
ld11.exe (Worm.Koobface) bitte um logauswertung - Standard

ld11.exe (Worm.Koobface) bitte um logauswertung



hey kaos
bist ja noch wach

was meinst wegen meinen fragen last post?

btw ... siehe hier, ich glaub meine maschiene dreht langsam am zeiger -.-

Alt 15.07.2009, 01:47   #5
Kaos
 
ld11.exe (Worm.Koobface) bitte um logauswertung - Standard

ld11.exe (Worm.Koobface) bitte um logauswertung



Wenn du wirklich sicher gehen willst, solltest du auch die Partition platt machen. Bestes Beispiel wäre da Virut, der würde auch die Dateien auf der Partition befallen.

Wie sieht es jetzt eigentlich aus, hast du schon neuinstalliert?

mfg, Kaos


Alt 15.07.2009, 01:56   #6
cotton
 
ld11.exe (Worm.Koobface) bitte um logauswertung - Standard

ld11.exe (Worm.Koobface) bitte um logauswertung



ne, noch nicht. es kam nix mehr. von 4 scannern nichts festgestellt.
das ich neuinstallier is fakt. auch wenn es sauber scheint. nur im moment noch keine zeit.
das wird min 8h dauern. -.-
naja. bin ja selbst schuld

Alt 15.07.2009, 02:12   #7
Kaos
 
ld11.exe (Worm.Koobface) bitte um logauswertung - Standard

ld11.exe (Worm.Koobface) bitte um logauswertung



Ich persönlich würde alles platt machen, das ist einfach sicherer. Dann doch lieber 8 Stunden mit der Neuinstallation abquälen, als sich nicht sicher zu sein, das alles sauber ist.

Die LDxx.exe Dateien laden meist auch noch was nach. Ich denke mal, das es bei dir nich lange aktiv war, aber es reichen bei den heutigen DSL geschwindigkeiten, ein paar Sekunden, bis war nachgeladen wird.

Meistens erstellt die Ld11.exe noch eine pp11 oder ähnliche Datei, die aber in deinem Log nicht auftaucht.

Ist im Endeffekt deine Entscheidung wie du es machst. Falls du nicht neuinstallierst, würde ich später nochmal gründlich scannen.

mfg, Kaos

Antwort

Themen zu ld11.exe (Worm.Koobface) bitte um logauswertung
1.exe, ad.yieldmanager, adfarm, antivir, antivir guard, avira, bho, broken.opencommand, components, dauert ewig, desktop, druck, einstellungen, entfernen, firefox, flash player, free download, gainward, gebraucht, google, heuristischer treffer, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, internet explorer 8, logfile, magix, malwarebytes' anti-malware, mssql, plug-in, registrierungsschlüssel, rundll, scan, software, studio, taskmanager, tr/crypt.xpack.ge, tr/crypt.xpack.gen, usb, virus, windows internet, windows internet explorer, windows xp, worm.koobface



Ähnliche Themen: ld11.exe (Worm.Koobface) bitte um logauswertung


  1. C:\Windows\System32\drivers\PDRV.sys - Worm.KoobFace - Designänderung Vista
    Log-Analyse und Auswertung - 16.04.2013 (22)
  2. Worm.Koobface - bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (32)
  3. Worm.KoobFace --> HJT-Logfile
    Log-Analyse und Auswertung - 30.12.2010 (17)
  4. Mein PC meldet: Infizierung mit C:\windows\system32rasautou.exe, worm.koobFace
    Log-Analyse und Auswertung - 28.07.2010 (2)
  5. WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden
    Log-Analyse und Auswertung - 08.12.2009 (3)
  6. WORM/Koobface.cc u.a. gefunden
    Log-Analyse und Auswertung - 06.12.2009 (43)
  7. Worm.KoobFace, Trojan.BHO auf dem System :(
    Plagegeister aller Art und deren Bekämpfung - 05.12.2009 (17)
  8. Worm.KoobFace in C:\Windows
    Log-Analyse und Auswertung - 04.12.2009 (7)
  9. Mit Trojaner (Worm.KoobFace) über Facebook infiziert/Trojaner verschwunden?
    Plagegeister aller Art und deren Bekämpfung - 14.11.2009 (1)
  10. Worm/Koobface.cif
    Log-Analyse und Auswertung - 28.10.2009 (1)
  11. Wurm = Net-Worm.Koobface.ze
    Plagegeister aller Art und deren Bekämpfung - 06.07.2009 (0)
  12. TR/Dldr.AGENT.bhhd.1 und WORM/KOObface.CN geplagt
    Plagegeister aller Art und deren Bekämpfung - 14.02.2009 (3)
  13. Bitte um HJT - Logauswertung
    Log-Analyse und Auswertung - 11.07.2008 (4)
  14. Bitte um Logauswertung
    Mülltonne - 29.12.2007 (0)
  15. Bitte um Logauswertung
    Mülltonne - 23.12.2007 (0)
  16. Bitte um Logauswertung
    Log-Analyse und Auswertung - 01.03.2005 (10)
  17. Bitte um Logauswertung
    Log-Analyse und Auswertung - 18.01.2005 (8)

Zum Thema ld11.exe (Worm.Koobface) bitte um logauswertung - Nun hats mich erwischt Bin aber selbst Schuld. Ich versuche mich kurz zu fassen: - Hab eine Datei geöffnet (setup.exe) - zuvor habe ich diese Datei extra mit Avira AV - ld11.exe (Worm.Koobface) bitte um logauswertung...
Archiv
Du betrachtest: ld11.exe (Worm.Koobface) bitte um logauswertung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.