Trojaner-Board - PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry (https://www.trojaner-board.de/110534-pum-hijack-startmenu-trojan-fakealert-registry.html)

Combofix scheint was gefunden zu haben. Zumindest hats was gelöscht; mein Keepass :-/ . Man kanns ja zum Glück neu installieren.

Combofix Logfile:

Code:

ComboFix 12-03-04.02 - HP 05.03.2012  23:05:07.1.2 - x64

Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2813.1838 [GMT 1:00]

ausgeführt von:: c:\users\HP\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files (x86)\KeePass Password Safe 2\KeePass.exe

c:\users\HP\AppData\Local\assembly\tmp

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-05 bis 2012-03-05  ))))))))))))))))))))))))))))))

.

.

2012-03-04 19:06 . 2012-03-05 21:34        --------        d-----w-        c:\users\HP\AppData\Roaming\.purple

2012-03-04 19:03 . 2012-03-04 19:03        --------        d-----w-        c:\program files (x86)\Pidgin

2012-03-03 12:47 . 2012-03-03 12:47        --------        d-----w-        C:\_OTL

2012-02-29 17:07 . 2012-02-29 17:07        --------        d-----w-        c:\program files (x86)\ESET

2012-02-26 22:16 . 2012-02-26 22:16        --------        d-----w-        c:\program files\Recuva

2012-02-26 17:47 . 2012-02-26 17:48        --------        d-----w-        c:\users\******

2012-02-25 22:43 . 2012-02-25 22:43        --------        d-----w-        c:\users\HP\AppData\Roaming\gnupg

2012-02-25 22:43 . 2012-02-25 22:43        --------        d-----w-        c:\program files (x86)\GNU

2012-02-25 22:37 . 2012-02-25 22:37        --------        d-----w-        c:\users\HP\AppData\Local\Lupinho.Net

2012-02-25 22:36 . 2012-02-25 22:36        --------        d-----w-        c:\program files\Lupinho.Net

2012-02-25 21:53 . 2012-01-04 10:44        509952        ----a-w-        c:\windows\system32\ntshrui.dll

2012-02-25 21:53 . 2012-01-04 08:58        442880        ----a-w-        c:\windows\SysWow64\ntshrui.dll

2012-02-25 21:53 . 2011-12-30 06:26        515584        ----a-w-        c:\windows\system32\timedate.cpl

2012-02-25 21:53 . 2011-12-30 05:27        478720        ----a-w-        c:\windows\SysWow64\timedate.cpl

2012-02-25 18:47 . 2012-02-25 18:47        414368        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-02-25 17:51 . 2011-12-10 14:24        23152        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-02-25 17:51 . 2012-02-25 17:51        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2012-02-22 20:32 . 2012-02-22 20:33        --------        d-----w-        c:\program files (x86)\Oracle

2012-02-22 20:31 . 2012-02-22 20:31        --------        d-----w-        c:\program files (x86)\Common Files\Java

2012-02-22 20:30 . 2012-01-10 12:57        637848        ----a-w-        c:\windows\SysWow64\npdeployJava1.dll

2012-02-17 15:29 . 2012-02-17 15:29        --------        d-----w-        C:\opt

2012-02-15 09:28 . 2012-01-14 04:06        3145728        ----a-w-        c:\windows\system32\win32k.sys

2012-02-15 09:28 . 2011-12-28 03:59        498688        ----a-w-        c:\windows\system32\drivers\afd.sys

2012-02-15 09:28 . 2011-12-16 08:46        634880        ----a-w-        c:\windows\system32\msvcrt.dll

2012-02-15 09:28 . 2011-12-16 07:52        690688        ----a-w-        c:\windows\SysWow64\msvcrt.dll

2012-02-13 19:48 . 2012-03-05 20:48        --------        d-----w-        c:\users\HP\AppData\Roaming\Vidalia

2012-02-13 19:48 . 2012-03-05 11:04        --------        d-----w-        c:\users\HP\AppData\Roaming\tor

2012-02-13 19:32 . 2012-02-03 02:10        --------        d-----w-        c:\program files (x86)\Tor

2012-02-12 00:11 . 2012-02-12 00:19        --------        d-----w-        c:\users\HP\AppData\Roaming\JonDo

2012-02-11 22:57 . 2012-02-11 22:57        --------        d-----w-        c:\program files (x86)\JonDo

2012-02-08 22:52 . 2012-02-17 18:09        --------        d-----w-        c:\users\HP\AppData\Local\Eclipse

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-01-25 09:29 . 2011-11-11 08:37        207008        ----a-w-        c:\programdata\Microsoft\VBExpress\10.0\1031\ResourceCache.dll

2012-01-10 12:57 . 2010-06-14 22:35        567696        ----a-w-        c:\windows\SysWow64\deployJava1.dll

2011-12-30 10:02 . 2011-12-30 10:02        74752        ----a-w-        c:\windows\SysWow64\RegisterIEPKEYs.exe

2011-12-30 10:02 . 2011-12-30 10:02        161792        ----a-w-        c:\windows\SysWow64\msls31.dll

2011-12-30 10:02 . 2011-12-30 10:02        86528        ----a-w-        c:\windows\SysWow64\iesysprep.dll

2011-12-30 10:02 . 2011-12-30 10:02        76800        ----a-w-        c:\windows\SysWow64\SetIEInstalledDate.exe

2011-12-30 10:02 . 2011-12-30 10:02        74752        ----a-w-        c:\windows\SysWow64\iesetup.dll

2011-12-30 10:02 . 2011-12-30 10:02        63488        ----a-w-        c:\windows\SysWow64\tdc.ocx

2011-12-30 10:02 . 2011-12-30 10:02        48640        ----a-w-        c:\windows\SysWow64\mshtmler.dll

2011-12-30 10:02 . 2011-12-30 10:02        367104        ----a-w-        c:\windows\SysWow64\html.iec

2011-12-30 10:02 . 2011-12-30 10:02        110592        ----a-w-        c:\windows\SysWow64\IEAdvpack.dll

2011-12-30 10:02 . 2011-12-30 10:02        420864        ----a-w-        c:\windows\SysWow64\vbscript.dll

2011-12-30 10:02 . 2011-12-30 10:02        35840        ----a-w-        c:\windows\SysWow64\imgutil.dll

2011-12-30 10:02 . 2011-12-30 10:02        23552        ----a-w-        c:\windows\SysWow64\licmgr10.dll

2011-12-30 10:02 . 2011-12-30 10:02        152064        ----a-w-        c:\windows\SysWow64\wextract.exe

2011-12-30 10:02 . 2011-12-30 10:02        150528        ----a-w-        c:\windows\SysWow64\iexpress.exe

2011-12-30 10:02 . 2011-12-30 10:02        142848        ----a-w-        c:\windows\SysWow64\ieUnatt.exe

2011-12-30 10:02 . 2011-12-30 10:02        11776        ----a-w-        c:\windows\SysWow64\mshta.exe

2011-12-30 10:02 . 2011-12-30 10:02        101888        ----a-w-        c:\windows\SysWow64\admparse.dll

2011-12-30 10:02 . 2011-12-30 10:02        91648        ----a-w-        c:\windows\system32\SetIEInstalledDate.exe

2011-12-30 10:02 . 2011-12-30 10:02        89088        ----a-w-        c:\windows\system32\RegisterIEPKEYs.exe

2011-12-30 10:02 . 2011-12-30 10:02        49664        ----a-w-        c:\windows\system32\imgutil.dll

2011-12-30 10:02 . 2011-12-30 10:02        48640        ----a-w-        c:\windows\system32\mshtmler.dll

2011-12-30 10:02 . 2011-12-30 10:02        222208        ----a-w-        c:\windows\system32\msls31.dll

2011-12-30 10:02 . 2011-12-30 10:02        173056        ----a-w-        c:\windows\system32\ieUnatt.exe

2011-12-30 10:02 . 2011-12-30 10:02        135168        ----a-w-        c:\windows\system32\IEAdvpack.dll

2011-12-30 10:02 . 2011-12-30 10:02        12288        ----a-w-        c:\windows\system32\mshta.exe

2011-12-30 10:02 . 2011-12-30 10:02        114176        ----a-w-        c:\windows\system32\admparse.dll

2011-12-30 10:02 . 2011-12-30 10:02        85504        ----a-w-        c:\windows\system32\iesetup.dll

2011-12-30 10:02 . 2011-12-30 10:02        76800        ----a-w-        c:\windows\system32\tdc.ocx

2011-12-30 10:02 . 2011-12-30 10:02        603648        ----a-w-        c:\windows\system32\vbscript.dll

2011-12-30 10:02 . 2011-12-30 10:02        448512        ----a-w-        c:\windows\system32\html.iec

2011-12-30 10:02 . 2011-12-30 10:02        30720        ----a-w-        c:\windows\system32\licmgr10.dll

2011-12-30 10:02 . 2011-12-30 10:02        165888        ----a-w-        c:\windows\system32\iexpress.exe

2011-12-30 10:02 . 2011-12-30 10:02        160256        ----a-w-        c:\windows\system32\wextract.exe

2011-12-30 10:02 . 2011-12-30 10:02        111616        ----a-w-        c:\windows\system32\iesysprep.dll

2011-12-23 17:26 . 2011-12-23 17:26        230864        ----a-w-        c:\windows\system32\drivers\truecrypt.sys

2011-12-15 00:46 . 2011-12-23 17:11        222904        ----a-w-        c:\windows\system32\drivers\keyscrambler.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SandboxieControl"="c:\program files\Sandboxie\SbieCtrl.exe" [2012-02-07 666384]

"TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2011-12-23 1517520]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-08-04 98304]

"SoundMAXPnP"="c:\program files (x86)\Analog Devices\Core\smax4pnp.exe" [2009-05-18 1314816]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Secunia PSI Tray.lnk - c:\program files (x86)\Secunia\PSI\psi_tray.exe [2010-12-21 291896]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-22 136176]

R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-22 136176]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]

R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]

R3 yukonx64;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk60x64.sys [x]

R4 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360]

S2 DirMngr;DirMngr;c:\program files (x86)\GNU\GnuPG\dirmngr.exe [2011-03-02 224256]

S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]

S2 Secunia PSI Agent;Secunia PSI Agent;c:\program files (x86)\Secunia\PSI\PSIA.exe [2010-12-21 987704]

S2 Secunia Update Agent;Secunia Update Agent;c:\program files (x86)\Secunia\PSI\sua.exe [2010-12-21 399416]

S2 TeamViewer7;TeamViewer 7;c:\program files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2011-12-14 2984832]

S3 KeyScrambler;KeyScrambler;c:\windows\system32\drivers\keyscrambler.sys [x]

S3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [x]

S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

Inhalt des "geplante Tasks" Ordners

.

2012-03-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-22 15:52]

.

2012-03-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-22 15:52]

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAX"="c:\program files (x86)\Analog Devices\SoundMAX\soundmax.exe" [2009-05-18 3866624]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = 

mLocal Page = 

Trusted Zone: microsoft.com\*.update

Trusted Zone: microsoft.com\update

Trusted Zone: secunia.com\psi

Trusted Zone: windowsupdate.com\download

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\JonDoFox\

FF - prefs.js: browser.search.selectedEngine - Startingpage HTTPS - Deutsch

FF - prefs.js: browser.startup.homepage - hxxps://startpage.com/do/mypage.pl?prf=a2d1ece1398370b0e8129333d0592721

FF - prefs.js: keyword.enabled - false

FF - prefs.js: network.proxy.gopher - 

FF - prefs.js: network.proxy.gopher_port - 0

FF - prefs.js: network.proxy.type - 1

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Wow6432Node-HKCU-Run-KeePass Password Safe 2 - c:\program files (x86)\KeePass Password Safe 2\KeePass.exe

Wow6432Node-HKLM-Run-KeePass 2 PreLoad - c:\program files (x86)\KeePass Password Safe 2\KeePass.exe

HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ðƒA*]

"7040110900063D11C8EF10054038389C"="C?\\Windows\\SysWOW64\\FM20ENU.DLL"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2012-03-05  23:23:37 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2012-03-05 22:23

.

Vor Suchlauf: 14 Verzeichnis(se), 107.998.781.440 Bytes frei

Nach Suchlauf: 20 Verzeichnis(se), 107.842.879.488 Bytes frei

.

- - End Of File - - 6DF81294670BB63F54CC8BF893720A7C

--- --- ---

Das "assembly\tmp" Ding das da noch gelöscht wurde sagt mir nichts. Auch habe ich an keinem der im Log auftretenden registry Einträge selber Hand angelegt, zumindest nicht bewusst. Anderes ist mir da nicht aufgefallen (außer, dass ich mich wundere warum googleupdate zwei Tasks bei mir plant und Apple für die Erkennung seiner Geräte nen extra Prozess braucht).

Liebe Grüße
Hamlon

Das zu Keepass2 ist ein False Positive :(
Entweder neu installieren oder wir verschieben es aus der Q => CF hat seine Q in C:\Qoobox

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

aswmbr ist 2 mal abgestürzt. Beide male an der gleichen Stelle so weit ich das sehen konnte. Im Anhang befindet sich ein jpg von aswmbr nach dem Absturz. Die Datei bzw. der Schlüssel der Grad untersucht wurde ist leider nicht komplett zu sehen. Hat aber etwas mit MS Visual Studio zu tun. Die Details zu beiden Abstürzen habe ich kopiert und auch mitgeschickt. Ich bin am Überlegen den gesamten Visual Studio Kram zu deinstallieren. So dringend brauche ich den nicht mehr. Da das allerdings ein ziemlicher Aufstand wird, wollt ich mal fragen ob dass überhaupt helfen könnte und ob du vielleicht sogar weißt welche Sachen ich deinstallieren kann ohne das groß was kaputt geht. Ich hab daher auch noch mal die entsprechenden Einträge im Software Verzeichnis als jpg mitgeschickt. Wenn du denkst es wäre sinnvoll, würd ich die dann Deinstallieren.

Viele Grüße
Hamlon

Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Ohne AV Scan hats geklappt. Hier ist das aswMBR Log.

Code:

aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software

Run date: 2012-03-07 11:37:32

-----------------------------

11:37:32.701    OS Version: Windows x64 6.1.7601 Service Pack 1

11:37:32.701    Number of processors: 2 586 0x301

11:37:32.701    ComputerName: YUBYUP  UserName: HP

11:37:35.512    Initialize success

11:37:45.790    AVAST engine defs: 12030600

11:37:52.380    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0

11:37:52.380    Disk 0 Vendor: FUJITSU_MHZ2250BH_G2 8909 Size: 238475MB BusType: 11

11:37:52.411    Disk 0 MBR read successfully

11:37:52.411    Disk 0 MBR scan

11:37:52.427    Disk 0 Windows 7 default MBR code

11:37:52.442    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       238473 MB offset 2048

11:37:52.489    Disk 0 scanning C:\Windows\system32\drivers

11:38:09.292    Service scanning

11:38:44.431    Modules scanning

11:38:44.446    Disk 0 trace - called modules:

11:38:44.478    ntoskrnl.exe CLASSPNP.SYS disk.sys hpdskflt.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 

11:38:44.493    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8002d9f060]

11:38:44.493    3 CLASSPNP.SYS[fffff8800197543f] -> nt!IofCallDriver -> [0xfffffa8002db7040]

11:38:44.509    5 hpdskflt.sys[fffff8800191c189] -> nt!IofCallDriver -> [0xfffffa8002d87e40]

11:38:44.524    7 ACPI.sys[fffff88000e7d7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8002d7a680]

11:38:44.524    Scan finished successfully

11:49:42.991    Disk 0 MBR has been saved successfully to "C:\Users\HP\Desktop\aswmbr\MBR.dat"

11:49:43.006    The log file has been saved successfully to "C:\Users\HP\Desktop\aswmbr\aswMBR.txt"

Lieben Gruß
Hamlon

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hab mit beiden Tools nach Update einen Vollscan gemacht. Hier das Ergebnis.

Code:

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.03.07.01
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

HP :: YUBYUP [Administrator]
 

07.03.2012 13:39:01

mbam-log-2012-03-07 (13-39-01).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P

Deaktivierte Suchlaufeinstellungen: 

Durchsuchte Objekte: 517580

Laufzeit: 2 Stunde(n), 20 Minute(n), 55 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 03/07/2012 at 10:44 PM
 

Application Version : 5.0.1144
 

Core Rules Database Version : 8311

Trace Rules Database Version: 6123
 

Scan type       : Complete Scan

Total Scan Time : 03:57:10
 

Operating System Information

Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Administrator
 

Memory items scanned      : 676

Memory threats detected   : 0

Registry items scanned    : 65367

Registry threats detected : 0

File items scanned        : 318700

File threats detected     : 2
 

Trojan.Agent/Gen-MSFake

        C:\EIGENE DATEIEN\DOKUMENTE\VISUAL STUDIO 2010\PROJECTS\RECHNEN BIS HUNDERT\RECHNEN BIS HUNDERT\BIN\DEBUG\RECHNEN BIS HUNDERT.EXE

        C:\EIGENE DATEIEN\DOKUMENTE\VISUAL STUDIO 2010\PROJECTS\RECHNEN BIS HUNDERT\RECHNEN BIS HUNDERT\OBJ\X86\DEBUG\RECHNEN BIS HUNDERT.EXE

Die "Rechnen bis Hundert.exe" ist ein VB.Net Programm das ich selbst geschrieben habe. Sollte eigentlich, wie der Name andeutet, ein Rechenprogramm für Nachhilfeschüler werden. War allerdings mein erstes Programm mit VB.Net und wurd daher doch ein Hello World, d.h. Form Application mit 2 Buttons und nem Label. Button1-> Hallo, Button2->Ende. Hab die fünf Zeilen Code der Form App. nochmal angehängt und auch nen Virus Total Scan der exe. Hab das Programm in ner extra Sandbox auch nochmal laufen lassen. Soweit ich das beurteilen kann hats da nichts anderes gemacht als ich oben erklärt hab, d.h. es wurde nichts zusätzliches in die Box geladen. Damit habe ich dann wohl meine erste Maleware geschrieben.
Ansonsten schauts aber ganz gut aus denke ich.
Liebe Grüße
Hamlon

Ja das ist ein Fehlalarm :)

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Hatte bis eben noch ein Problem mit meiner .Net 4.0 installation. Die hat wohl zwischendurch mal einen mitbekommen. Konnte die Installation aber reparieren. Funde gibts keine mehr. Und wirklich Probleme die irgendwelche Schädlinge gemacht haben hatte ich ja auch vorher nicht.
Ich frage mich allerdings immernoch was Malewarebytes da denn nun gefunden hatte. So wie ich das verstehe sind registry Einträge doch keine ausführbaren Dateien und alleine nicht wirklich in der Lage viel zu machen. Die sind doch eher so dazu da meinem Windows zu sagen "führ mal dies da aus bei dem Ereignis da", also um das Schadprogramm zu starten oder? Hast du irgend eine Idee was meine beiden Funde mal bezwecken sollten?

Und kannst du vielleicht einschätzen wie groß die Chance ist das noch ein Schädling da ist, der nicht gefunden wurde oder für wie wahrscheinlich du welches Szenario hältst?.
a) Fehlalarm
b) kein Fehlarlarm aber der Schädling konnte sich aus irgendwelchen Gründen (Vielleicht UAC Dialog weg geklickt und nichts bei gedacht) nicht einnisten und wurd dann irgendwann deinstalliert bzw gelöscht
c) kein Fehlalarm und der Schäling hat sich nicht bemerkbar gemacht und wir haben ihn nicht gefunden
d) Was anderes

Auf jeden Fall vielen, vielen Dank für deine Hilfe.
Liebe Grüße
Hamlon

Zitat:

Und kannst du vielleicht einschätzen wie groß die Chance ist das noch ein Schädling da ist, der nicht gefunden wurde oder für wie wahrscheinlich du welches Szenario hältst?.

Das sind die typischen Fragen, die man nicht vernünftig beantworten kann, was bringt dir eine absurde Prozentzahl als Wahrscheinlichkeit? Kann man nicht nennen, wie soll man das denn auch ermitteln?

Die Logs sind nun ok, großartig fiese Schädlinge wurde da auch nicht gefunden, wenn die Logs ok sind und das System nun läuft wie es eigentlich soll dann soll es damit auch getan werden. Wem das ganz zu unsicher ist, muss bei jedem Pup halt formatieren.

Also ist der Rechner nun wieder so in Ordnung oder nicht?

Das ist mir schon bewusst, dass man da nichts genaues oder sicheres sagen kann. Ist eiegentlich ja auch nicht wirklich wichtig. Auf mein Verhalten hätte das eh keine Auswirkungen gehabt. Ich hab schon von Anfang an entschieden, dass ich nicht formatieren werde wenns nicht unbedingt not tut. Und nach den Ergebnissen fühle ich mich da ziemlich sicher.

Mein Rechner ist wieder komplett in Ordnung.
Vielen Dank für deine Hilfe,
Hamlon

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.