Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wieder sauber nach "tUaaq+xN.exe.part"?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.07.2010, 21:02   #1
Trojanja
 
Wieder sauber nach "tUaaq+xN.exe.part"? - Standard

Wieder sauber nach "tUaaq+xN.exe.part"?



Hallo zusammen!

Das ist mein erstes Posting hier, und ich hoffe, dass mein Beitrag in der Form den Regeln entspricht!

Heute ist es also auch mir passiert, obwohl ich immer ziemlich vorsichtig und skeptisch im Netz unterwegs bin:
Aufgrund eines dämlichen PopUps der Marke "Your Computer is beiing a attacked", das sich hinter einem Google-Bildersuche-Link versteckte, fand Malwarebytes auf meinem System die Datei "tUaaq+xN.exe.part".
Eventuell habe ich noch mal Glück gehabt, da ich den Firefox sofort und ohne Downloadeinwilligung geschlossen habe, aber sicher ist sicher.
AntiVir hat übrigens keinen Pieps von sich gegeben.

Das Logfile von MB hänge ich hier mal an:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4366

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.07.2010 19:50:31
mbam-log-2010-07-29 (19-50-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 279901
Laufzeit: 42 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Fee\AppData\Local\Temp\tUaaq+xN.exe.part (Rogue.Installer) -> Quarantined and deleted successfully.
         
Im Anschluss daran habe ich - wie hier im Forum beschrieben - zu HijackThis gegriffen:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:05, on 29.07.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Logitech\SetPointP\SetPoint.exe
C:\Program Files\pdf24\pdf24.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\MirandaFusion\miranda32.exe
C:\Program Files\MirandaFusion\mfwd.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\explorer.exe
C:\Users\Fee\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.+++.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
O4 - HKLM\..\Run: [PDFPrint] C:\Program Files\pdf24\pdf24.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Miranda Fusion] C:\Program Files\MirandaFusion\mfstart.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: firefox.exe.lnk = C:\Program Files\Mozilla Firefox\firefox.exe
O4 - Startup: thunderbird.exe - Verknüpfung.lnk = C:\Program Files\Mozilla Thunderbird\thunderbird.exe
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h++p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:   
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - C:\Program Files\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe

--
End of file - 5751 bytes
         
Mein System ist übrigens Win7 Professional 32bit. Ich erwähne es nur sicherheitshalber, weil im Log "Platform: Unknown Windows" steht und ich nicht weiß, ob der Zusatz "WinNT 6.01.3504" dahinter etwas darüber aussagt.

Kann ich nun wieder aufatmen?
Ich hoffe, hier kann mir jemand helfen, denn ich kenne mich in dem Bereich absolut nicht aus.

Liebe Grüße,
Trojanja

PS: Kann überhaupt etwas bei exe.part-Dateien passieren? Normalerweise wird "part" doch nur angehängt, wenn eine Datei nicht vollständig heruntergeladen wurde. Bin ich da falsch informiert?

Alt 30.07.2010, 17:38   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wieder sauber nach "tUaaq+xN.exe.part"? - Standard

Wieder sauber nach "tUaaq+xN.exe.part"?



Zitat:
PS: Kann überhaupt etwas bei exe.part-Dateien passieren? Normalerweise wird "part" doch nur angehängt, wenn eine Datei nicht vollständig heruntergeladen wurde. Bin ich da falsch informiert?
Nein, da kann so nichts passieren. Eine unvollständige EXE Datei kann so nicht ausgeführt werden.
Gabs noch weitere Funde? Weitere Logs mit Malwarebytes?
__________________

__________________

Alt 30.07.2010, 18:36   #3
Trojanja
 
Wieder sauber nach "tUaaq+xN.exe.part"? - Standard

Wieder sauber nach "tUaaq+xN.exe.part"?



Hallo Arne!

Danke für deine Antwort!
Ich hatte schon die Befürchtung, doch etwas falsch gemacht zu haben, weil niemand was schrieb.

Nein, es gab keine weiteren Funde mehr.
Hatte mir noch den CCleaner runtergeladen und dann erneut AntiVir und Malwarebytes laufen lassen, aber die haben nichts mehr gefunden. Da muss ich allerdings deren Abschlusssätzen glauben, da ich selbst von eigenständigen Logauswertungen nichts verstehe.

Habe jetzt (zusätzlich zum AdBlocker, den ich eh schon hatte) auch NoScript für den Firefox heruntergeladen, damit mir das nicht mehr passiert.
Ist mir immer noch ein Rätsel, warum die Datei (wenn auch nur teilweise) überhaupt heruntergeladen wurde, obwohl ich im Firefox-Download-Dialog defintiv verweigert hatte.
Gut, dass ich den Firefox sofort geschlossen habe, weil mir das seltsam vorkam.

Liebe Grüße,
Trojanja

PS: Muss ich das Präfix "offen" selbst in "gelöst" umändern? Ich finde dazu nämlich keine Einstellung mehr, weiß aber, dass ich das beim Erstellen des Themas auswählen musste.
__________________

Geändert von Trojanja (30.07.2010 um 18:48 Uhr)

Alt 30.07.2010, 19:38   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wieder sauber nach "tUaaq+xN.exe.part"? - Standard

Wieder sauber nach "tUaaq+xN.exe.part"?



Zitat:
Ich hatte schon die Befürchtung, doch etwas falsch gemacht zu haben, weil niemand was schrieb.
Du musst auch etwas Geduld haben, Du bist nicht der einzige der Huilfe haben will!

Zitat:
Gut, dass ich den Firefox sofort geschlossen habe, weil mir das seltsam vorkam
Welche FF_Version hast Du da?

Zitat:
PS: Muss ich das Präfix "offen" selbst in "gelöst" umändern?
Nein, kannst Du m.W. nicht, kannst Du aber auch ignorieren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.07.2010, 20:25   #5
Trojanja
 
Wieder sauber nach "tUaaq+xN.exe.part"? - Standard

Wieder sauber nach "tUaaq+xN.exe.part"?



Zitat:
Zitat von cosinus Beitrag anzeigen
Du musst auch etwas Geduld haben, Du bist nicht der einzige der Huilfe haben will!
*Räusper* Ist mir klar! Deshalb habe ich mich auch brav geduldet und nicht versucht, das Thema zu schubsen.

Zitat:
Zitat von cosinus Beitrag anzeigen
Welche FF_Version hast Du da?
3.6.8. Also die aktuellste Version. Ich update immer sofort, wenn ne neue Version draußen ist.

Zitat:
Nein, kannst Du m.W. nicht, kannst Du aber auch ignorieren.
Ok, wenn das so ist!

Liebe Grüße,
Trojanja


Antwort

Themen zu Wieder sauber nach "tUaaq+xN.exe.part"?
adobe, anschluss, antivir guard, avg, avira, bho, computer, dateien, desktop, explorer, firefox, hijack, hijackthis, local\temp, logfile, malwarebytes, micro, microsoft, mozilla, mozilla thunderbird, pdf, pieps, popups, programdata, realtek, sicherheitshalber, software, system, system32, temp



Ähnliche Themen: Wieder sauber nach "tUaaq+xN.exe.part"?


  1. Nach Photo Transfer mit "MPE" nach"D", auf "C" ca. 5GB verloren? Rest: 5,6GB auf "C"!
    Alles rund um Windows - 17.04.2016 (21)
  2. wenn ich das pc anschalte zeigt es nach paar minuten stand da "anzeigetriber wurde nach dem fehler wieder hergestellt" also so in der richtu
    Alles rund um Windows - 09.08.2015 (3)
  3. PC fährt nach "Herunterfahren" wieder hoch !
    Netzwerk und Hardware - 14.06.2015 (40)
  4. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  5. Windows 8: Laptop nach "Conduit Search & Trovigo.com Startseite" sauber?
    Plagegeister aller Art und deren Bekämpfung - 17.02.2014 (7)
  6. Windows 7: GoogleChrome Erweiterung "DownSave5.2" taucht nach Löschen immer wieder auf
    Log-Analyse und Auswertung - 10.01.2014 (9)
  7. Laptop nach GVU-Trojaner Befall wieder am Laufen aber bestimmt noch nicht "sauber"
    Plagegeister aller Art und deren Bekämpfung - 23.07.2013 (11)
  8. Malwarebytes findet "Trojan.Agent" - dieser ist aber nach löschen jedesmal wieder da
    Plagegeister aller Art und deren Bekämpfung - 01.01.2013 (14)
  9. Mail PW gestohlen, nach Passwortänderung hatte "Hacker" direkt wieder das PW
    Plagegeister aller Art und deren Bekämpfung - 02.11.2012 (8)
  10. "Polizei-Trojaner - österr. Variante" - Ist mein PC wieder "sauber"?
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  11. PC wiederholt verseucht mit "Live Security Platinum", jetzt wieder sauber?
    Log-Analyse und Auswertung - 21.06.2012 (1)
  12. Nicht sicher, ob PC nach "System Fix" Entfernung wieder "sauber"
    Log-Analyse und Auswertung - 07.01.2012 (18)
  13. JAVA/Exdoer.CU.2 in Quarantäne. Ist mein Rechner wieder "sauber"?
    Plagegeister aller Art und deren Bekämpfung - 09.11.2011 (19)
  14. Crypt.ZPACK.Gen - ist mein Rechner jetzt endlich wieder "sauber"
    Plagegeister aller Art und deren Bekämpfung - 11.04.2010 (1)
  15. "Ordentlicher" Befall nach Öffnen eines fremden Sticks. Wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 14.08.2009 (15)
  16. Trojaner "TDSS" / Antivirus 2009 Spyware -Ist das System jetzt wieder sauber???
    Log-Analyse und Auswertung - 15.02.2009 (3)
  17. Sytem (hoffentlich) wieder sauber aber Probleme mit der DLL "SHLWAPI.dll"
    Plagegeister aller Art und deren Bekämpfung - 27.07.2005 (1)

Zum Thema Wieder sauber nach "tUaaq+xN.exe.part"? - Hallo zusammen! Das ist mein erstes Posting hier, und ich hoffe, dass mein Beitrag in der Form den Regeln entspricht! Heute ist es also auch mir passiert, obwohl ich immer - Wieder sauber nach "tUaaq+xN.exe.part"?...
Archiv
Du betrachtest: Wieder sauber nach "tUaaq+xN.exe.part"? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.