Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: avast blockiert Zugriff auf roore.ws/updatet.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.11.2009, 14:35   #1
feelx86
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Hallo,

vor ein paar Tagen hat avast die Meldung ausgespuckt, dass der Zugriff auf roore.ws/updatet.exe blockiert wurde. Ein anschließender Vollständiger Scan hat jedoch nichts ergeben.

Ich habe nun in einem Beitrag in diesem Forum von der Software Malwarebytes Anti-Malware erfahren und diese dann installiert. Ich habe einen Scan durchlaufen lassen und anschließend die gefundenen Infizierungen gelöscht. seitdem kommt keine Meldung mehr von avast, jedoch meldet Anti-Malware jetzt in einigen Abständen, dass der Zugriff auf IP Adresse 93.174.95.130 erfolgreich blockiert wurde. Ein weiterer Scan mit MAM zeigt jedoch keine weiteren Infektionen an. Ich nehme an, mein System ist jedoch trotzdem noch infiziert, da ja scheinbar weiterhin ein Programm versucht, Zugriff auf diese IPs zu nehmen (Meldung kommt auch wenn Browser/IM/E-Mail Programme etc. geschlossen sind.

Wie soll ich weiter verfahren?


hier das log-file von Anti Malware und Hijackthis

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3160
Windows 6.1.7600

13.11.2009 17:26:52
mbam-log-2009-11-13 (17-26-52).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 96731
Laufzeit: 4 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Windows\System32\msxm192z.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ter8m (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defence (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass service (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\$Recycle.Bin\S-1-5-21-1795836795-525157460-637275251-1001\$R8L71T0\smss.exe (Trojan.Buzus) -> Quarantined and deleted successfully.
C:\Users***\AppData\Local\Temp\cormxwensa.exe (Virus.Virut) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\cxowrmsena.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\msxm192z.dll (Trojan.Agent) -> Delete on reboot.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:36, on 14.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\CompanionLink for Google\CompanionLink.exe
C:\Program Files\GmoteServer\GmoteServer.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
D:\MirandaFusion\miranda32.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashLogV.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\***\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [CompanionLink] "c:\program files\companionlink for google\companionlink.exe" -Icon
O4 - Startup: GmoteServer.lnk = C:\Program Files\GmoteServer\GmoteServer.exe
O4 - Startup: Microsoft Office Outlook 2007.lnk = ?
O4 - Startup: miranda32 - Shortcut.lnk = D:\MirandaFusion\miranda32.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6859 bytes

Geändert von feelx86 (14.11.2009 um 14:43 Uhr)

Alt 14.11.2009, 16:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Hallo und

Da Du Win7 nutzt, kann man u.U. sehr schwer bereinigen, da noch nicht klar ist, dass alle "unsere" Standardtools damit kompatibel sind.

Probieren wir's aus. Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Und los geht's:

1.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

2.) Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 14.11.2009, 16:55   #3
feelx86
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Hallo cosinus, Vielen Dank schonmal für deine Bemühungen!

Ich habe nun die logs entsprechend deiner Anweisung erstellt.

Du kannst die unter http://www.2shared.com/file/9159001/b7c3593d/logs.html
herunterladen (file-upload ging bei mir irgendwie nicht).

Ich hoffe du kannst mir helfen, den Virus/Trojaner zu erledigen.

Die IP ist übrigens nicht immer gleich, aber meistens ist es die, die ich angegeben habe, falls dir das weiterhilft.


Gruß

feelx
__________________

Alt 16.11.2009, 11:09   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Hattest Du schonmal Combofix ausgeführt? Ich seh da im Log einen CF-typischen Ordner...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.11.2009, 11:32   #5
feelx86
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Ja hatte ich.

Ich hab hier im Forum vor meiner Anmeldung einen Beitrag gelesen, wo dieses Programm als Lösungsmöglichkeit angegeben wurde. Hab leider erst später gelesen, dass dies nur nach fachlichem Rat angewendet werdeb darf, sorry!. Ich hoffe dies erschwert die Problemlösung nicht zusätzlich, war leider ein bisschen voreilig.


Alt 16.11.2009, 11:35   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Dann poste bitte wenigstens das Logfile.
__________________
--> avast blockiert Zugriff auf roore.ws/updatet.exe

Alt 16.11.2009, 12:29   #7
feelx86
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Ich bin grade noch in der Uni, aber sobald ich nach Hause komme, werde ich es posten, vermutlich so gegen 17:00!

Gruß

Felix

Alt 16.11.2009, 16:05   #8
feelx86
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



so hier der Log von ComboFix



Code:
ATTFilter
ComboFix 09-11-14.03 - *** 14.11.2009 14:19..2 - FAT32x86
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1033.18.2047.1211 [GMT 1:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\9336,359.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2009-10-14 bis 2009-11-14  ))))))))))))))))))))))))))))))
.

2009-11-14 13:36 . 2009-11-14 13:36	--------	d-----w-	c:\users\***\AppData\Local\temp
2009-11-14 13:36 . 2009-11-14 13:36	--------	d-----w-	c:\users\Default\AppData\Local\temp
2009-11-13 15:06 . 2009-11-13 15:06	--------	d-----w-	c:\users\***\AppData\Roaming\Malwarebytes
2009-11-13 15:06 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-13 15:06 . 2009-11-13 15:06	4096	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-11-13 15:06 . 2009-11-13 15:06	--------	d-----w-	c:\programdata\Malwarebytes
2009-11-13 15:06 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-06 15:54 . 2009-11-12 21:03	--------	d-----w-	c:\users\***\PsiData
2009-11-06 15:53 . 2009-11-06 15:54	16384	d-----w-	c:\program files\Psi
2009-11-05 09:11 . 2009-11-05 09:11	--------	d-----w-	c:\users\***\.sshterm
2009-11-05 09:11 . 2009-11-05 09:11	--------	d-----w-	c:\users\***\.ssh
2009-10-30 18:49 . 2009-10-30 18:49	--------	d-----w-	c:\users\***\AppData\Local\ElevatedDiagnostics
2009-10-28 19:27 . 2009-10-28 19:27	--------	d--h--w-	c:\program files\InstallJammer Registry
2009-10-28 19:27 . 2009-11-14 08:39	4096	d-----w-	c:\users\***\AppData\Roaming\Gmote
2009-10-28 19:26 . 2009-10-28 19:27	4096	d-----w-	c:\program files\GmoteServer
2009-10-26 17:07 . 2009-10-26 17:07	48648	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\Markup.dll
2009-10-23 21:58 . 2009-10-23 21:58	--------	d-----w-	c:\users\***\AppData\Roaming\CompanionLink
2009-10-23 21:24 . 2009-10-29 19:22	16384	d-----w-	c:\program files\CompanionLink for Google
2009-10-23 07:45 . 2009-11-02 19:42	195456	------w-	c:\windows\system32\MpSigStub.exe
2009-10-21 12:29 . 2009-10-21 12:33	--------	d-----w-	C:\Downloads
2009-10-20 06:33 . 2009-10-02 04:06	728648	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2009-10-20 06:33 . 2009-09-03 07:04	1320960	----a-w-	c:\windows\system32\CertEnroll.dll
2009-10-20 06:33 . 2009-08-19 07:20	507568	----a-w-	c:\windows\system32\winload.exe
2009-10-20 06:33 . 2009-08-03 05:35	2613248	----a-w-	c:\windows\explorer.exe
2009-10-20 06:33 . 2009-08-19 07:20	442920	----a-w-	c:\windows\system32\winresume.exe
2009-10-20 06:33 . 2009-07-30 16:29	108544	----a-w-	c:\windows\system32\t2embed.dll
2009-10-20 06:33 . 2009-07-30 16:27	71168	----a-w-	c:\windows\system32\fontsub.dll
2009-10-20 06:33 . 2009-07-30 04:44	293888	----a-w-	c:\windows\system32\atmfd.dll
2009-10-20 06:33 . 2009-08-29 06:54	12625408	----a-w-	c:\windows\system32\wmploc.DLL
2009-10-15 17:54 . 2009-09-10 05:52	257024	----a-w-	c:\windows\system32\msv1_0.dll
2009-10-15 17:50 . 2009-10-15 17:50	--------	d-----w-	c:\program files\MSXML 4.0
2009-10-15 17:07 . 2009-08-29 06:57	34816	----a-w-	c:\windows\system32\msasn1.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-14 13:06 . 2009-09-28 16:01	--------	d-----w-	c:\program files\CCleaner
2009-11-14 12:39 . 2009-08-29 14:12	4096	d-----w-	c:\users\***\AppData\Roaming\Skype
2009-11-11 15:19 . 2009-08-29 12:28	12288	d-----w-	c:\programdata\Microsoft Help
2009-11-08 21:57 . 2009-09-03 19:52	4096	d-----w-	c:\users\***\AppData\Roaming\vlc
2009-11-07 21:16 . 2009-10-05 14:54	--------	d-----w-	c:\users\***\AppData\Roaming\dvdcss
2009-11-04 15:09 . 2009-09-19 09:43	1086768	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
2009-10-23 21:28 . 2009-08-29 13:07	4096	d-----w-	c:\program files\Google
2009-10-23 19:34 . 2009-08-29 13:31	4096	d--h--w-	c:\program files\InstallShield Installation Information
2009-10-21 12:33 . 2009-08-29 14:44	4096	d-----w-	c:\users\***\AppData\Roaming\Orbit
2009-10-21 11:07 . 2009-08-29 21:50	1068336	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-10-15 17:51 . 2009-08-29 14:21	--------	d-----w-	c:\programdata\NVIDIA
2009-10-14 08:56 . 2009-10-14 08:56	--------	d-----w-	c:\program files\LTC
2009-10-12 10:43 . 2009-08-29 16:34	4096	d-----w-	c:\program files\Common Files\Adobe
2009-10-12 10:34 . 2009-08-29 12:32	113824	----a-w-	c:\users\***\AppData\Local\GDIPFONTCACHEV1.DAT
2009-10-12 10:28 . 2009-08-29 12:32	4096	d-----w-	c:\program files\Microsoft Works
2009-10-12 10:28 . 2009-07-14 04:52	--------	d-----w-	c:\program files\MSBuild
2009-10-08 09:34 . 2009-10-08 09:34	--------	d-----w-	c:\program files\Common Files\EZB Systems
2009-10-08 09:34 . 2009-10-08 09:34	4096	d-----w-	c:\program files\UltraISO
2009-10-07 21:43 . 2009-09-03 09:28	--------	d-----w-	c:\users\***\AppData\Roaming\Scan2PDF
2009-10-07 21:43 . 2009-08-29 16:44	--------	d-----w-	c:\programdata\FLEXnet
2009-10-07 21:42 . 2009-09-24 13:46	49152	d-----w-	c:\program files\TuneUp Utilities 2009
2009-09-27 20:00 . 2009-09-27 20:00	4096	d-----w-	c:\program files\VDOWNLOADER
2009-09-27 15:47 . 2009-09-27 15:47	2173544	----a-w-	c:\windows\system32\nvcplui.exe
2009-09-27 15:47 . 2009-09-27 15:47	92776	----a-w-	c:\windows\system32\nvmctray.dll
2009-09-27 15:47 . 2009-09-27 15:47	805480	----a-w-	c:\windows\system32\nvsvc.dll
2009-09-27 15:47 . 2009-09-27 15:47	4033128	----a-w-	c:\windows\system32\nvvitvs.dll
2009-09-27 15:47 . 2009-09-27 15:47	3553896	----a-w-	c:\windows\system32\nvgames.dll
2009-09-27 15:47 . 2009-09-27 15:47	3172968	----a-w-	c:\windows\system32\nvwss.dll
2009-09-27 15:47 . 2009-09-27 15:47	215656	----a-w-	c:\windows\system32\nvvsvc.exe
2009-09-27 15:47 . 2009-09-27 15:47	195176	----a-w-	c:\windows\system32\nvmccss.dll
2009-09-27 15:47 . 2009-09-27 15:47	1309288	----a-w-	c:\windows\system32\nvsvs.dll
2009-09-27 15:47 . 2009-09-27 15:47	1292904	----a-w-	c:\windows\system32\nvmobls.dll
2009-09-27 15:46 . 2009-09-27 15:46	4942440	----a-w-	c:\windows\system32\nvdisps.dll
2009-09-27 15:46 . 2009-09-27 15:46	13949544	----a-w-	c:\windows\system32\nvcpl.dll
2009-09-26 07:40 . 2009-08-29 12:31	--------	d-----w-	c:\program files\Microsoft.NET
2009-09-26 07:40 . 2009-08-29 12:28	--------	d-----w-	c:\program files\Microsoft Visual Studio 8
2009-09-25 07:41 . 2009-09-25 07:41	--------	d-----w-	c:\program files\Alcohol Soft
2009-09-24 14:31 . 2009-09-24 14:31	--------	d-----w-	c:\programdata\Office Genuine Advantage
2009-09-24 13:47 . 2009-09-24 13:47	--------	d-----w-	c:\users\***\AppData\Roaming\TuneUp Software
2009-09-24 13:46 . 2009-09-24 13:46	--------	d-----w-	c:\programdata\TuneUp Software
2009-09-22 14:57 . 2009-09-22 14:57	--------	d-----w-	c:\programdata\Ubisoft
2009-09-15 10:13 . 2009-09-15 10:13	459	----a-w-	c:\windows\PowerReg.dat
2009-08-29 21:50 . 2009-08-29 21:50	48648	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
2009-08-29 16:10 . 2009-08-29 14:48	50	----a-w-	c:\windows\system32\bridf07a.dat
2009-08-29 14:25 . 2009-08-29 14:25	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-08-29 14:14 . 2009-08-29 14:14	56	---ha-w-	c:\windows\system32\ezsidmv.dat
2009-08-29 14:11 . 2009-08-29 14:11	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-08-29 13:49 . 2009-08-29 13:49	56	--sha-r-	c:\windows\system32\820DEA0540.sys
2009-08-29 13:49 . 2009-08-29 13:49	1682	--sha-w-	c:\windows\system32\KGyGaAvL.sys
2009-08-29 13:41 . 2009-08-29 13:41	10134	----a-r-	c:\users\***\AppData\Roaming\Microsoft\Installer\{B4E96960-5F6B-48B9-A5BD-6A5A9BB4F027}\ARPPRODUCTICON.exe
2009-08-17 21:33 . 2009-08-17 21:33	1193832	----a-w-	c:\windows\system32\FM20.DLL
2009-08-17 16:10 . 2009-08-29 12:39	1279456	----a-w-	c:\windows\system32\aswBoot.exe
2009-08-17 16:05 . 2009-08-29 12:40	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-08-17 16:05 . 2009-08-29 12:40	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-08-17 16:05 . 2009-08-29 12:39	53328	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2009-08-17 16:04 . 2009-08-29 12:40	51376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-08-17 16:04 . 2009-08-29 12:40	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-08-17 16:02 . 2009-08-29 12:40	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-07-14 00:16 . 2009-07-14 00:16	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
2009-06-10 21:26 . 2009-07-14 02:04	9633792	--sha-r-	c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42	396800	--sha-w-	c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-07-16 25604904]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]
"CompanionLink"="c:\program files\companionlink for google\companionlink.exe" [2009-10-20 13774848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\program files\Alwil Software\Avast4\ashDisp.exe" [2009-08-17 81000]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
" Malwarebytes Anti-Malware  (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-09-10 420176]

c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
GmoteServer.lnk - c:\program files\GmoteServer\GmoteServer.exe [2009-10-28 451584]
Microsoft Office Outlook 2007.lnk - c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe [2009-8-29 845584]
miranda32 - Shortcut.lnk - d:\mirandafusion\miranda32.exe [2009-11-9 942690]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R0 hotcore3;Hotcore helper;c:\windows\System32\drivers\hotcore3.sys [29.08.2009 16:05 40496]
R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [29.08.2009 13:40 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [29.08.2009 13:40 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [29.08.2009 13:39 53328]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [13.11.2009 16:06 269648]
R2 wlidsvc;Windows Live ID Sign-in Assistant;c:\program files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE [30.03.2009 15:28 1533808]
R3 MBAMProtector;MBAMProtector;c:\windows\System32\drivers\mbam.sys [13.11.2009 16:06 19160]
S4 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [29.08.2009 17:14 133104]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PROCEXP113
*Deregistered* - PROCEXP113
.
Inhalt des "geplante Tasks" Ordners

2009-09-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-29 16:14]

2009-09-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-29 16:14]

2009-11-14 c:\windows\Tasks\Malwarebytes' Scheduled Scan for ***.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-11-13 13:53]

2009-11-14 c:\windows\Tasks\Malwarebytes' Scheduled Update for ***.job
- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-11-13 13:53]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: An vorhandene PDF-Datei anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\gkwfm3gm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.ftd.de/schnellleser|http://www.bild.de/
FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2009-11-14 14:42
ComboFix-quarantined-files.txt  2009-11-14 13:42

Vor Suchlauf: 76.357.804.032 bytes free
Nach Suchlauf: 76.277.706.752 bytes free

- - End Of File - - 1A2437467196334C44FC82FDCF6AB178
         

Alt 16.11.2009, 19:05   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Ausrufezeichen

avast blockiert Zugriff auf roore.ws/updatet.exe



Zitat:
ComboFix 09-11-14.03 - *** 14.11.2009 14:19..2 - FAT32x86
Erste Zeile, erster grober Schnitzer
Das Dateisystem FAT32 ist einfach nicht mehr zeitgemäß, unterstützt keine Berechtigungen und macht einfach auf Windows-NT-Betriebssystemen (NT/2000/XP/Vista/7) einfach keinen Sinn. Hat auch viele andere Nachteile, allein wie das Adresseren vonstatten geht und Dateien größer als ca. 4 GB können auf das Filesystem garnicht abgelegt werden (nix mit DVD-Images.. )

Wieso hast Du beim Win7-Setup kein NTFS genommen?

Ich hab mit Win7 jetzt nocht garnicht gearbeitet, aber bis Windows XP (das weiß ich sicher ) gibt es den convert Befehl, mit dem man FAT32 ohne Datenverlust nach NTFS konvertieren kann.

Ob das ganze bei diesem hier:

Zitat:
C:\Users***\AppData\Local\Temp\cormxwensa.exe (Virus.Virut)
überhaupt noch Sinn macht wäre aber die wichtigere Frage. Falls es der Virut ist, wärst Du mit einem formatieren und einer Neuinstallation wesentlich besser dran (dann aber gleich richtig auf NTFS formatieren!!) denn der Virut ist sehr zerstörerisch, er befällt alle EXE Dateien da er ein Fileinfector ist zusätzlich zu den Backdoor/Rootkit-Funktionen.

Was hast Du da eigentlich ausgeführt, dass Du da nach so kurzer Zeit (Win7 gibt es noch nicht sooo lange) diese Pest im System hast?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.11.2009, 19:37   #10
feelx86
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Hallo,

ich habe Win 7 schon eine ganze Weile. Bei uns an der Uni bekommt man Win7 über das MSDNAA Projekt kostenlos und auch schon ein bisschen früher als der offizielle release.
Da avast das File gelöscht hat kann ich leider nichtmehr nachvollziehen, wann ich mir den Virus eingefangen habe bzw. wie. Kann mir eigentlich nur vorstellen, dass ein E-Mail Anhang infiziert war.
Ich surfe nämlich eigentlich nicht auf Seiten mit hohem Gefährdungspotential. Windows habe ich im Juli diesen Jahres installiert.

Bei mir steht auf jeden fall NTFS formatierung. Vielleicht erkennt ComboFix die Formatierung bei Win7 nicht richtig. Hab seit Win XP eigentlich durchgehend NTFS.


Das mit dem Virus klingt ja gar nicht gut, aber laut log hat avast diesen doch erfolgreich entfernt oder is das Virus immernoch drauf und avast hat nur die Spitze des Eisbergs entfernt? Gibt es eine Möglichkeit diesen Virus zu Bereinigen ohne eine Neuinstallation?

Vielen Dank schonmal für deine Bemühungen beim Aufspüren dieses Virus.

Gruß

Felix

Geändert von feelx86 (16.11.2009 um 19:50 Uhr) Grund: Ergänzung

Alt 16.11.2009, 19:49   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Falls es wirklich ein Virut-Ableger war und der zur Ausführung gekommen ist, ist das System im Eimer, da der sämtliche EXE-Dateien befällt.

Überprüfe zur Kontrolle den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.11.2009, 20:12   #12
feelx86
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Hallo,

der PrevX3.0 Scan hat eine infektion gefunden.

auf dem Desktop (c:\users\***\desktop) das file rmvirut.exe

das file habe ich aber gerade erst von der AVG-Seite heruntergeladen, soll also eigentlich ein removal tool für diesen Virus-Typ sein. Sehr merkwürdig.

Ansonsten hat der scan nichts ergeben. soll ich das file bereinigen lassen?

hab nochmal gescannt und nun sind es 2 infektionen.

die 2. in c:\windows\vbox\common mit namen vboxt430.dll

Geändert von feelx86 (16.11.2009 um 20:18 Uhr)

Alt 16.11.2009, 20:18   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Nein, wenn das Teil von AVG ist, gibt es da nix zu bereinigen. Hast Du rmvirut von AVG schon gestartet? Wenn nicht mach das mal und poste ob der einen aktiven Virut bestätigen kann.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.11.2009, 20:24   #14
feelx86
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Ich habe es vorhin gestartet und durchlaufen lassen allerdings keine Infizierung gefunden. Das Programm ist jedoch von May 2009 und somit evtl. nichtmehr aktuell. Ich habe aber auch nichts neueres gefunden.

Alt 16.11.2009, 20:27   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
avast blockiert Zugriff auf roore.ws/updatet.exe - Standard

avast blockiert Zugriff auf roore.ws/updatet.exe



Zitat:
Zitat von feelx86 Beitrag anzeigen
die 2. in c:\windows\vbox\common mit namen vboxt430.dll
Sagt Dir Vbox Trial CLient was? Werte diese Datei bitte bei Virustotal.com aus und schick den Ergebnislink.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu avast blockiert Zugriff auf roore.ws/updatet.exe
anti malware, anti-malware, appdata, avast, avast!, blockiert, dateien, forum, infiziert, ip adresse, konvertieren, local\temp, log-file, malwarebytes, malwarebytes anti-malware, meldung, microsoft, nichts, pdf-datei, programm, programme, recycle.bin, registrierungsschlüssel, scan, service, smss.exe, software, system, system32, temp, trojan.agent, trojan.buzus, trojan.downloader, version, zugriff



Ähnliche Themen: avast blockiert Zugriff auf roore.ws/updatet.exe


  1. avast blockiert Websites auf Win 7
    Plagegeister aller Art und deren Bekämpfung - 08.05.2015 (19)
  2. Avast Meldung: Virus von IP ... blockiert
    Plagegeister aller Art und deren Bekämpfung - 24.02.2015 (13)
  3. vermutlich trojaner/ zugriff auf antivirusprogramm avast geblockt / auch nicht möglich zu deinstallieren/ adminrechte wurden verändert
    Plagegeister aller Art und deren Bekämpfung - 17.02.2015 (29)
  4. Kein Zugriff auf Avast
    Log-Analyse und Auswertung - 09.02.2015 (1)
  5. Avast durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 27.11.2014 (11)
  6. Avast durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 18.09.2014 (19)
  7. Avast von Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 21.06.2014 (33)
  8. Avast durch Gruppenrichtlinie blockiert
    Plagegeister aller Art und deren Bekämpfung - 02.06.2014 (13)
  9. winmgr.exe blockiert Zugriff auf Antivirenprogramme warum ?
    Plagegeister aller Art und deren Bekämpfung - 27.05.2014 (33)
  10. Avast durch Gruppenrichtlinie blockiert
    Log-Analyse und Auswertung - 22.05.2014 (7)
  11. winmgr.exe blockiert Zugriff auf Antivirenprogramme
    Plagegeister aller Art und deren Bekämpfung - 29.04.2014 (1)
  12. Avast durch Gruppenrichtlinie blockiert.
    Log-Analyse und Auswertung - 04.04.2014 (11)
  13. Polizei-Trojaner blockiert jeglichen Zugriff
    Plagegeister aller Art und deren Bekämpfung - 09.05.2013 (3)
  14. Avast blockiert URL bei Google Chrome
    Plagegeister aller Art und deren Bekämpfung - 03.10.2012 (35)
  15. avast! hat den Zugriff auf eine infizierte Webseite blockiert
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (23)
  16. roore.ws/1.exe trotz KasperskyIS
    Log-Analyse und Auswertung - 23.11.2009 (39)
  17. Zugriff auf Seiten von Avast, Kaspersky, Norton wird verweigert
    Log-Analyse und Auswertung - 01.01.2009 (1)

Zum Thema avast blockiert Zugriff auf roore.ws/updatet.exe - Hallo, vor ein paar Tagen hat avast die Meldung ausgespuckt, dass der Zugriff auf roore.ws/updatet.exe blockiert wurde. Ein anschließender Vollständiger Scan hat jedoch nichts ergeben. Ich habe nun in einem - avast blockiert Zugriff auf roore.ws/updatet.exe...
Archiv
Du betrachtest: avast blockiert Zugriff auf roore.ws/updatet.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.