Malwarebytes LOG

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4063

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

04.05.2010 17:13:15
mbam-log-2010-05-04 (17-13-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 158149
Laufzeit: 30 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Spyware.Passwords) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Spyware.Passwords) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Spyware.Passwords) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\syslog\trendmicro.exe (Spyware.Passwords) -> No action taken.
C:\System Volume Information\_restore{9BBA0A9E-FE40-4382-B14E-A4A28ED65ED7}\RP9\A0004306.exe (Spyware.Passwords) -> No action taken.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\logs.dat (Bifrose.Trace) -> No action taken.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> No action taken.



Der Spybot LOG ist ewig lang weis nicht inwiefern der Sinnvoll ist
da waren 4 Einträge drinnen

die ergebnisse von DIT.exe

File size: 86016 bytes
MD5...: 748b9439fde6e1c161e109dcf5908066
SHA1..: 89749fbb5e5f8a883c4728126d4fc9e277b02b13
SHA256: 244c669ab7ac73793942d6c61d1c5aaad83b3b6fd07cb657463a7823c3a1978e
ssdeep: 1536:7X9WVR/tH5vyhDM6lLOKsNGvo+qmFSLCdeRa:b9W4JhNsNGvo+qmQLCcc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6391
timedatestamp.....: 0x406cfa98 (Fri Apr 02 05:31:04 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x92c8 0xa000 6.20 7a6b0e134419c9d635b55e2add23b828
.rdata 0xb000 0x10a0 0x2000 3.50 8b22bd728a1281cecce651ef39af6954
.data 0xd000 0x4a44 0x1000 3.76 a54e18338a405163f4546730c609eac8
.rsrc 0x12000 0x60d8 0x7000 4.68 0f7447ccd43f6b9989b93e024cf70be3

( 4 imports )
> SETUPAPI.dll: SetupDiEnumDeviceInterfaces, SetupDiGetDeviceRegistryPropertyA, SetupDiSetDeviceRegistryPropertyA, SetupDiSetClassInstallParamsA, SetupDiDeleteDeviceInterfaceData, SetupDiChangeState, SetupDiGetDeviceInterfaceDetailA, SetupDiOpenDeviceInterfaceA, SetupDiCreateDeviceInfoList, SetupDiGetClassDevsA, SetupDiDestroyDeviceInfoList
> KERNEL32.dll: LoadLibraryA, FreeLibrary, WaitForSingleObject, ResetEvent, CreateEventA, SetThreadPriority, CreateThread, Sleep, SetEvent, GetPrivateProfileIntA, lstrcatA, GetModuleFileNameA, GetPrivateProfileStringA, lstrlenA, lstrcpyA, GetDriveTypeA, GetVersionExA, WinExec, GetTickCount, lstrcmpiA, WideCharToMultiByte, GetSystemDirectoryA, SetFilePointer, SetStdHandle, LCMapStringW, LCMapStringA, FlushFileBuffers, GetOEMCP, GetACP, GetCPInfo, GetStringTypeW, GetStringTypeA, MultiByteToWideChar, RtlUnwind, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetProcAddress, DeviceIoControl, GetLastError, CloseHandle, CreateFileA, HeapDestroy, ExitProcess, GetCommandLineA, GetStartupInfoA, HeapReAlloc, VirtualAlloc, VirtualFree, GetModuleHandleA, HeapAlloc, HeapFree, GetSystemDirectoryW, FindResourceA, LoadResource, SizeofResource, GetVersion, GetWindowsDirectoryA, WriteFile, LockResource, HeapCreate
> USER32.dll: wsprintfW, wsprintfA, SetTimer, EnumWindows, GetClassNameA, PostQuitMessage, DestroyWindow, DefWindowProcA, GetMessageA, DispatchMessageA, TranslateMessage, FindWindowA, PostMessageA, CreateWindowExA, ShowWindow, UpdateWindow, LoadIconA, LoadCursorA, RegisterClassExA, CharUpperA, PostThreadMessageA, KillTimer
> ADVAPI32.dll: RegOpenKeyExA, RegEnumKeyA, RegDeleteKeyA, RegCreateKeyExA, RegSetValueExA, RegSetValueExW, RegQueryValueExA, RegDeleteValueA, RegCloseKey

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: ICSI Technology Ltd.
copyright....: Copyright(C) ICSI Technology Ltd. 2004
product......: Customized Icon and Label
description..: Customized Icon and Label
original name: n/a
internal name: n/a
file version.: V2.01.0402
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


und ähm den ornder syslog in der system 32 gibts nicht
Ich habs extra nochmal mit hijack this gecheckt da wird der punkt mit trendmicro noch imer angeführt aber ich finde den ordner nicht auch versteckt ist er nicht

Hey,
Dann mal weiter:
1. Öffne Malwarebytes --> Updaten --> Vollständiger Scan --> Infizierte Objekte löschen --> Logfile posten

2. SuperAntiSpyware bitte wie in der Anleitung ausführen (http://www.trojaner-board.de/51871-a...tispyware.html) --> Infizierte Dateien löschen --> Logfile posten

3. GMER bitte wie in der Anleitung ausführen (http://www.trojaner-board.de/74908-a...t-scanner.html) --> Logfile posten

4. CCleaner auführen (http://www.trojaner-board.de/51464-a...-ccleaner.html)

5. Ein neues HijackThis Logfile bitte

Poste bitte alle Logfiles hier in das Forum hinein ! Dann sehen wir weiter!

Grüße,
Kiyoshi

Bevor ich das jezt alles durchführe.
Da ich alle meine Daten gesichert habe da ich ja gestern meinen Pc neu aufgesezt habe.

Kann ich das auch gleich nochmal machen - aber vorher wär gut wissen wie ich mir das ganze geholt habe. Oder ist es überhaupt ein Trojaner?

Kann ich irgendwie Daten zuvor auf Trojaner prüfen das auch 100% sicher ist.
Ich hab zur Zeit alle meine Daten auf der Externen liegen.

Ich glaub das würde nicht so lange Dauern und einen haufen arbeit ersparen.

Also ich hab bei mir ein anderes Problem festgestellt und zwar das meine Fesplatte pendrive heist. Das problem hab ich gesucht und hab dazu eine Anleitung befolgt
Habe die autostart deaktiviert und das autostartfile von der externen gelöscht.
Dannach habe ich Malwarebytes nochmal über alles c,d,j .....drüberlaufen lassen mit folgendem Ergebnis

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4063

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512





04.05.2010 23:00:24
mbam-log-2010-05-04 (23-00-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 184667
Laufzeit: 27 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
J:\System Volume Information\_restore{9BBA0A9E-FE40-4382-B14E-A4A28ED65ED7}\RP9\A0005331.exe (Spyware.Passwords) -> Quarantined and deleted successfully.


Ich werde dann morgen noch mal die von dir erwähnten programme drüberlaufen lassen
Guats Nächtle