Live Security Platinum entfernt?
Hallo zusammen,
ich hatte/hab leider auch den Live Security Platinum Trojaner. Hab schon paar Durchgänge Malwarebytes und ESET hinter mir. Bei dem ESET-Scan bekomm ich allerdings leider noch die Log vor paar Tagen.
Malwarebytes Logs:
#1 Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.17.07
Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Gugga :: GUGGA-PC [Administrator]
17.07.2012 11:02:33
mbam-log-2012-07-17 (11-02-33).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 496067
Laufzeit: 59 Minute(n), 38 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Rytyobciow (Trojan.Phex.THAGen1) -> Daten: C:\Users\Gugga\AppData\Roaming\Koxi\zeko.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|7812A107004CF8C31736E483F875F002 (Trojan.Lameshield) -> Daten: C:\ProgramData\7812A107004CF8C31736E483F875F002\7812A107004CF8C31736E483F875F002.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 4
C:\Users\Gugga\AppData\Roaming\Koxi\zeko.exe (Trojan.Phex.THAGen1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\7812A107004CF8C31736E483F875F002\7812A107004CF8C31736E483F875F002.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Gugga\AppData\Local\Temp\~!#B84E.tmp (Trojan.Phex.THAGen1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Installer\{7134bae6-6435-b1d2-cc70-b5f1ff826951}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
#2 Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.17.07
Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Gugga :: GUGGA-PC [Administrator]
17.07.2012 11:02:33
mbam-log-2012-07-17 (15-55-42).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 496067
Laufzeit: 59 Minute(n), 38 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.Lameshield) -> Keine Aktion durchgeführt.
Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Rytyobciow (Trojan.Phex.THAGen1) -> Daten: C:\Users\Gugga\AppData\Roaming\Koxi\zeko.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|7812A107004CF8C31736E483F875F002 (Trojan.Lameshield) -> Daten: C:\ProgramData\7812A107004CF8C31736E483F875F002\7812A107004CF8C31736E483F875F002.exe -> Keine Aktion durchgeführt.
Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 4
C:\Users\Gugga\AppData\Roaming\Koxi\zeko.exe (Trojan.Phex.THAGen1) -> Keine Aktion durchgeführt.
C:\ProgramData\7812A107004CF8C31736E483F875F002\7812A107004CF8C31736E483F875F002.exe (Trojan.Lameshield) -> Keine Aktion durchgeführt.
C:\Users\Gugga\AppData\Local\Temp\~!#B84E.tmp (Trojan.Phex.THAGen1) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{7134bae6-6435-b1d2-cc70-b5f1ff826951}\U\800000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
(Ende)
#3 Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.19.10
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Gugga :: GUGGA-PC [Administrator]
19.07.2012 16:47:00
mbam-log-2012-07-19 (16-47-00).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 190752
Laufzeit: 2 Minute(n), 47 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 1
C:\Users\Gugga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateien: 1
C:\Users\Gugga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
#4 Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.25.03
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Gugga :: GUGGA-PC [Administrator]
25.07.2012 11:29:13
mbam-log-2012-07-25 (11-29-13).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 399022
Laufzeit: 1 Stunde(n), 28 Minute(n), 21 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Hier die ESET-Log: Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-17 09:09:30
# local_time=2012-07-17 11:09:30 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 23821260 23821260 0 0
# compatibility_mode=4864 16777215 100 0 68199118 68199118 0 0
# compatibility_mode=5893 16776574 66 94 375352 94170954 0 0
# compatibility_mode=8192 67108863 100 0 120 120 0 0
# scanned=279909
# found=5
# cleaned=0
# scan_time=18268
C:\Users\Gugga\AppData\Local\Temp\gweho.exe Win32/TrojanDownloader.Vespula.AY Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\Users\Gugga\AppData\Local\Temp\jar_cache3498026610573169690.tmp Mehrere Bedrohungen (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\Users\Gugga\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1a54810c-3f6b45df Mehrere Bedrohungen (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\Users\Gugga\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\110ba7b2-57c349ad Win32/TrojanDownloader.Vespula.AY Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
C:\Windows\Installer\{7134bae6-6435-b1d2-cc70-b5f1ff826951}\U\80000000.@ Win64/Sirefef.AL Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-24 10:07:23
# local_time=2012-07-24 12:07:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 24397816 24397816 0 0
# compatibility_mode=4864 16777215 100 0 68775674 68775674 0 0
# compatibility_mode=5893 16776574 66 94 951908 94747510 0 0
# compatibility_mode=8192 67108863 100 0 576676 576676 0 0
# scanned=214675
# found=0
# cleaned=0
# scan_time=6782
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-25 12:51:39
# local_time=2012-07-25 02:51:39 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 24494466 24494466 0 0
# compatibility_mode=4864 16777215 100 0 68872324 68872324 0 0
# compatibility_mode=5893 16776574 66 94 1048558 94844160 0 0
# compatibility_mode=8192 67108863 100 0 673326 673326 0 0
# scanned=217550
# found=0
# cleaned=0
# scan_time=6390
Vielen Dank schon mal!
Viele Grüße
Christoph | 