| |
| |||||||
Log-Analyse und Auswertung: Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.-Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
02.12.2010, 15:23
| #1 |
| Gast |  Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- der hinweis hoert sich aber nicht sehr toll an xD auch wenn ich alles richtig ausfuehre kann es trotzdem zu ernsthaften schaeden an meinem pc kommen?^^ |
|
02.12.2010, 15:27
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.-Zitat:
__________________ |
|
02.12.2010, 15:35
| #3 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- ok benutze im mom chrome kann den combofix dateinamen daher beim downloaden nicht umaendern und noch ne frage wenn ich CCleaner ausfuehre was wird alles geloescht? gespeicherte pws? lesezeichen? history?
__________________ |
|
02.12.2010, 15:52
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Rechtsklick auf den Link => Ziel speichern unter Notfalls anderen Browser (IE, Firefox) nehmen
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
02.12.2010, 16:08
| #5 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- muss ich denn meinen verlauf im ie unbedingt loeschen??^^ |
|
02.12.2010, 19:09
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Nein, Verlauf etc. kannst du behalten. Aber die temp. Dateien solltest du löschen.
__________________ --> Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- |
|
02.12.2010, 21:28
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Hast du an den IE-Settings geschraubt? Diese Meldung ist mir bei CF neu. Stell mal bitte alles im IE in den Internetoptionen auf Standard zurück, alternativ mal auf den Link in der Meldung anklicken und den Anweisungen folgen. ("Warum können die Dateien nicht geöffnet werden?")
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.12.2010, 22:34
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Wie gesagt, setz mal alle IE-Einstellungen auf Standard zurück.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.12.2010, 23:20
| #9 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- habsch schon.. |
|
03.12.2010, 11:24
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Erstell dir doch mal über die Systemsteuerung mal einen neuen Benutzer mit Adminrechten. Log dich aus und mit dem neuen Benutzer ein. Probier den Lauf mit CF dann nochmal.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.12.2010, 14:07
| #11 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- ok wird gemacht.. |
|
04.12.2010, 10:20
| #12 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- ok problem ist jez das cofi mir anzeigt das ich noch nen programm im background laufen lasse obwohl ich das programm gestern schon geloescht habe!! was tun?? es handelt sich um spybot, das wobei du mir geraten hast es zu deinstallieren  |
|
04.12.2010, 17:55
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- Wenn es deinstalliert ist, kannst du die meldung ignorieren und einfach weitermachen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.12.2010, 20:47
| #14 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- ok auf deine verantwortung ^^ |
|
07.12.2010, 20:49
| #15 |
| Gast | Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- habs geschafft hier ist das logfile Combofix Logfile: Code:
ATTFilter ComboFix 10-12-06.04 - renshen 07.12.2010 20:39:56.1.4 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3255.1894 [GMT 1:00]
ausgeführt von:: c:\users\renshen\Desktop\cofi.exe
SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\jdsfjsdijf.exe
c:\jdsfjsdijf.exe\config.bin
C:\ONWERETExx.exe
c:\onweretexx.exe\config.bin
c:\onweretexx.exe\ONWERETExx.exe
c:\program files\\setup.exe
c:\program files\Setup.exe
c:\users\Nhan\AppData\Roaming\install
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-07 bis 2010-12-07 ))))))))))))))))))))))))))))))
.
2010-12-07 19:45 . 2010-12-07 19:45 -------- d-----w- c:\users\Nhan\AppData\Local\temp
2010-12-07 19:45 . 2010-12-07 19:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-07 19:45 . 2010-12-07 19:45 -------- d-----w- c:\users\Cao\AppData\Local\temp
2010-12-04 09:07 . 2010-12-04 09:08 -------- d-----w- c:\users\renshen
2010-12-02 15:04 . 2010-12-02 15:04 -------- d-----w- c:\program files\CCleaner
2010-11-28 19:48 . 2010-11-28 19:48 -------- d-----r- c:\users\Nhan\AppData\Roaming\Brother
2010-11-22 20:43 . 2010-11-22 20:43 -------- d-----w- c:\windows\Sun
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 14:06 . 2010-08-27 16:24 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-29 14:06 . 2010-08-27 16:24 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-23 20:10 . 2010-10-23 20:10 388096 ----a-r- c:\users\Nhan\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-10-23 12:42 . 2010-10-23 12:42 173 ----a-w- c:\users\Nhan\AppData\Roaming\20193.bat
2010-02-02 19:18 . 2010-02-02 19:18 10182144 ----a-w- c:\program files\openofficeorg32.msi
2006-05-03 09:06 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 12:30 216064 --sh--r- c:\windows\System32\nbDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2009-12-14 200704]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2009-12-11 348960]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2010-01-13 413696]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-11-02 103720]
"PDVD9LanguageShortcut"="c:\program files\CyberLink\PowerDVD9\Language\Language.exe" [2009-04-27 50472]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-01-12 8423968]
"RtHDVBg"="c:\program files\Realtek\Audio\HDA\RtHDVBg.exe" [2010-01-12 678432]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-11-24 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-11-24 175640]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-11-24 166936]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2009-10-02 284696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-14 14817896]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\BullGuard.exe" [2010-04-06 2069840]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]
"ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2010-08-19 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-29 281768]
" Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
c:\users\Nhan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-5-3 110592]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\nvinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BsMain]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BsScanner]
@="Service"
R3 BgRaSvc;BgRaSvc;c:\program files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe [2010-03-03 120144]
R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2008-08-07 3276800]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
S1 AFW;Agnitum Firewall Driver;c:\windows\system32\DRIVERS\afw.sys [2009-12-04 29208]
S1 BdSpy;BdSpy;c:\windows\system32\DRIVERS\BdSpy.sys [2010-03-12 55888]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-29 135336]
S2 BsBrowser;BullGuard antiphishing service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsFileScan;BullGuard on-access service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsFire;BullGuard firewall service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsMailProxy;BullGuard e-mail monitoring service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsMain;BullGuard main service;c:\windows\System32\SvcHost.exe [2009-07-14 20992]
S2 BsUpdate;BullGuard update service;c:\program files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe [2010-09-22 355720]
S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2009-02-03 1155072]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2009-10-02 13336]
S2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [2010-01-03 246520]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-12-10 2320920]
S3 afwcore;afwcore;c:\windows\system32\DRIVERS\afwcore.sys [2009-12-04 318488]
S3 BsScanner;BullGuard scanning service;c:\program files\BullGuard Ltd\BullGuard\BullGuardScanner.exe [2010-03-03 297808]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 125696]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-30 209920]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-11-13 58368]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2009-12-16 991776]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2009-10-22 118560]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - oxwdeebg
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
BullGuard_Main REG_MULTI_SZ BsMain
BullGuard REG_MULTI_SZ BsFileScan BsMailProxy BsFire
BullGuard_LowPriv REG_MULTI_SZ BsBrowser
iissvcs REG_MULTI_SZ w3svc was
apphost REG_MULTI_SZ apphostsvc
.
Inhalt des "geplante Tasks" Ordners
2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1539451478-733840103-1462338374-1000Core.job
- c:\users\Nhan\AppData\Local\Google\Update\GoogleUpdate.exe [2010-02-22 17:08]
2010-12-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1539451478-733840103-1462338374-1000UA.job
- c:\users\Nhan\AppData\Local\Google\Update\GoogleUpdate.exe [2010-02-22 17:08]
2010-12-07 c:\windows\Tasks\RegistryBooster.job
- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2010-10-24 11:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
LSP: c:\windows\system32\BGLsp.dll
FF - ProfilePath - c:\users\renshen\AppData\Roaming\Mozilla\Firefox\Profiles\qmb644nl.default\
FF - component: c:\program files\BullGuard Ltd\BullGuard\Antiphishing\FF\antiphishing@bullguard\components\BGFFComponent.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: BullGuard Antiphishing Toolbar: antiphishing@bullguard - c:\program files\BullGuard Ltd\BullGuard\Antiphishing\FF\antiphishing@bullguard
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
AddRemove-_{ADDBE07D-95B8-4789-9C76-187FFF9624B4} - c:\program files\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher {ADDBE07D-95B8-4789-9C76-187FFF9624B4}
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\oxwdeebg]
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2010-12-07 20:47:58
ComboFix-quarantined-files.txt 2010-12-07 19:47
Vor Suchlauf: 9 Verzeichnis(se), 316.963.495.936 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 316.852.244.480 Bytes frei
- - End Of File - - 14CFDDD5ECC46CB6F0299485E69FD8EE
|
|
| Themen zu Logfile nach Infizierung durch Microsoft Security Essentials Alert und soo -.- |
| 7-zip, autorun, avgntflt.sys, avira, bho, converter, corp./icp, druck, ebay, enigma, error, excel, excel.exe, fehler, firefox, flash player, fontcache, helper, home, home premium, iastor.sys, install.exe, launch, location, logfile, microsoft office word, microsoft security, microsoft security essentials, mozilla, mp3, nvlddmkm.sys, nvstor.sys, office 2007, oldtimer, otl logfile, plug-in, realtek, registry, rundll, safer networking, saver, scan, security, security update, senden, server, shell32.dll, software, super, usb, usb 2.0, webcheck, windows, wireless lan |
Hybrid-Darstellung
