Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Frefox Datenausführungsverhinderung & totladen von Seiten (https://www.trojaner-board.de/71793-frefox-datenausfuehrungsverhinderung-totladen-seiten.html)

Lex13 25.04.2009 14:03
Jaaaaa Herr Lehrer,

Keine Ahnung wie dass passiert ist. Jetzt ist sie aber weg :)

So hab jetzt noch 2 mal Combofix laufen lassen und alle Speicherkarten drin gehabt.
Hmm Laufwerk K: war soweit ich mich erinnern kann mein Handy. ??????
Komisch. Naja wie gesagt hatte jetzt alles nochmal dran, Handy`s, Ipod, Kameras, etc.
Hier die Loglinks:

http://www.materialordner.de/t9C3p5b...1YZaCBbQU.html
http://www.materialordner.de/GZYL2hM...90tGVr93Y.html
Hoffe dass es jetzt besser aussieht :)
Oder wie gehe ich jetzt weiter vor?
Hab noch ne Frage, ich hab noch nie online banking gemacht, aber da ich bald für nen Jahr ins Ausland gehe, würde ich dass ganz gerne machen können, da ich hier doch das ein oder andere mal überweisen möchte. Wie schauts damit aus?
Oder mit dem Rechner eher nicht?
Ciao erstmal Alex

Lex13 25.04.2009 14:17
Hi Andreas,

hab gerade nen rieeeeeeesen Problem.
Ich habe keinen Zugriff mehr auf meine externe Festplatte.
HIIIIIIILFE !!!!!!

Lex13 25.04.2009 14:24
Wird auch als "lokaler Datenträger" angezeigt, dass ist komisch, denn davor war es immer "nur" nen "Externer Datenträger".
Es kommt immer nur die Meldung:
Auf Laufwerk H: kann nicht zugegriffen werden.
Die Datei oder das Verzeichnis ist beschädigt oder nicht lesbar.
*heul*

john.doe 25.04.2009 14:40
Zitat:
Hoffe dass es jetzt besser aussieht
:daumenhoc
Zitat:
Wie schauts damit aus?
Wenn du sicher sein möchtest, dann Neuinstallation. Nur es reicht schon aus gegen eine der fundamentalen Regeln (die stehen in den letzten beiden Links in meiner Signatur) zu verstossen um sich erneut zu kompromittieren. Sicherheit im Internet gibt es nicht. Alles kann gefährlich sein, man sollte allerdings auch nicht zu paranoid sein. ;)

1.) Deinstalliere (falls möglich):
  • Alles von Norton/Symantec
  • Navilog
  • Bonjour
  • Azureus
  • ASUS Data Security Manager
  • SuperAntiSpyware
  • Google Toolbar
2.) Navigiere mit dem Windowsexplorer zur Datei:
Code:
c:\users\Lex\AppData\Local\kxche.bat
=> Mausklick rechts => Bearbeiten => kompletten Text hier posten.

3.) Download und Ausführung des Norton-Entfernungsprogramms

4.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

RegLock::
[HKEY_USERS\.Default\CMI-CreateHive{274AB9BD-5778-42E7-84B9-863B8D8DF87A}\Software\Tracker Software\PDF-XChange Lite 3.0]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\Clients]
[HKEY_LOCAL_MACHINE\System\Setup\Service Reporting API]
[HKEY_LOCAL_MACHINE\System\Setup\SetupCL]
[HKEY_LOCAL_MACHINE\System\Setup\Status]

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
[-HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 00:08        143360        ----a-w        c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"=-
"swg"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{B1D14B77-C375-4472-A37B-C1BB69F06DF4}"=-
"TCP Query User{E536EF34-1A41-4E48-8F21-AE9A9E169D6C}c:\\program files\\azureus\\azureus.exe"=-
"UDP Query User{B152862B-73CA-44A7-AAC0-52EE6F82CC6B}c:\\program files\\azureus\\azureus.exe"=-
"{C965A7CC-3C17-44E9-83E1-D4B05069CE6E}"=-
"{ED353BAA-24D9-45CA-B7FD-153ED9B3A37A}"=-
"{F2ED001A-D102-4060-A1A2-80C7E73512B6}"=-
"{816BF2A2-2102-4BC1-B6E6-5D312B063C28}"=-
"{CB2ABE22-4D14-454A-BB39-DECC24DC6670}"=-
"{AB3E3CF8-7B56-43DB-9886-2426DE6B7A8B}"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{50afc8ce-14f7-11dd-ad02-001d609a24c9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aae42067-ad52-11dc-8f41-001d609a24c9}]

Folder::
c:\program files\Google\GoogleToolbarNotifier
c:\program files\ASUS\ASUS Data Security Manager
c:\users\Lex\AppData\Roaming\Azureus
c:\program files\Navilog1
c:\program files\Bonjour
c:\program files\Common Files\Symantec Shared
c:\program files\Azureus

File::
C:\lxdi.log
C:\AUTOEXEC.SOL
c:\users\Lex\AppData\Local\GDIPFONTCACHEV1.DAT
c:\windows\System32\perfh007.dat
c:\windows\System32\perfc007.dat
C:\log.txt
C:\cleannavi.txt
C:\fixnavi.txt
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Edit:
Zitat:
Auf Laufwerk H: kann nicht zugegriffen werden.
Mausklick rechts auf Arbeitsplatz => Verwalten => Datenträgerverwaltung => Laufwerk H: anwählen. Was wird angezeigt?

Lex13 25.04.2009 18:37
Also ich habe jetzt versucht alles wie beschrieben durchzuführen.

1) Deinstallieren
Sind noch nen paar Reste da, aber immer wenn ich die "suche" hängt sich die Suche auf.

2) hab dort (c:\users\Lex\AppData\Local\kxche.bat) nachgeschaut und das stand da:

@echo Uninstalling the software...
@"c:\users\lex\appdata\local\skkiwys.exe" -uninstall

3) hab mir das Norton Removal Tool runtergeladen und das hat auch gut geklappt.

4)Habe Combofix wie beschrieben ausgeführt. Hier das Log:

http://www.materialordner.de/LYsHWuo...ub19LOeoR.html

Jubel, jubel, freu, freu meine Externe Festplatte ist wieder da. Gott bin ich froh.

Das Norton Removal Tool kann ich ja jetzt auch gleich wieder runterschmeißen. Oder?

Das freut mich dass es jetzt schon besser aussieht.
Merci nochmal, dass bis jetzt alles so super geklappt hat.
Werde später mal noch versuchen die Reste von 1) auch noch zu killen. Soll ich dann Combofix nochmal laufen lassen?
Werd mir dann auch mal deine "Regeln" bei deinen Links durchlesen. Bin dabei aus meinen Fehlern zu lernen :)

Ciao Alex

john.doe 25.04.2009 20:01
Zitat:
Sind noch nen paar Reste da, aber immer wenn ich die "suche" hängt sich die Suche auf.
Die kille ich schon mit ComboFix. Meine Kollegen lästern schon alle über mich, weil ich so gerne alles weglösche. :D
Zitat:
@echo Uninstalling the software...
@"c:\users\lex\appdata\local\skkiwys.exe" -uninstall
Hätte auch ein Schädling sein können, aber wird eh nicht mehr gebraucht. Also löschen wir das mit CF weg. :D
Zitat:
Jubel, jubel, freu, freu meine Externe Festplatte ist wieder da. Gott bin ich froh.
:daumenhoc
Zitat:
Das Norton Removal Tool kann ich ja jetzt auch gleich wieder runterschmeißen. Oder?
Ja.
Zitat:
Soll ich dann Combofix nochmal laufen lassen?
Ja, das Script muss ich dir allerdings erst basteln.
Zitat:
Bin dabei aus meinen Fehlern zu lernen.
Genau so soll das sein.

1.) Lade die Datei:
Code:
c:\windows\system32\acovcnt.exe
bitte gemäß dieser Anleitung bei uns hoch. Das sieht noch nicht so richtig gut aus. Irgendetwas ist da noch am Werkeln. Den Verursacher müssen wir noch finden.

2.) Systemdetails mit RSIT prüfen
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

3.) ZHPDiag von Nicolas Coolman

http://pic.leech.it/i/5e532/9b50601zhpdiag.jpg
  1. Klicke auf Téléchargement de ZHPDiag
  2. Klicke auf der Seite auf FTP Zebulon.fr N°1.
  3. Entpacke die geladene Datei auf den Desktop und starte ZHPDiag.exe mit Doppelklick.
  4. Klicke auf http://pic.leech.it/i/ced97/35b1452all.jpg All
  5. Klicke auf http://pic.leech.it/i/0eefe/5db239elupe.jpg General Analysis
  6. Klicke auf http://pic.leech.it/i/bf836/eced1f9dclipboard.jpg Paste Clipboard
  7. Wechsel zum Forum, klicke auf Antworten, klicke in den großen weißen Kasten
  8. Drücke [Strg]v, [Strg]a
  9. Klicke auf # http://pic.leech.it/i/3c634/c3cdedaraute.jpg
ciao, andreas

Lex13 27.04.2009 09:54
Hi Andreas,

also ich habe
1) Datei C:\Windows\System32\acovnt.exe wie beschrieben hochgeladen

2)RSIT runtergeladen und laufen lassen, hier die beiden Logs:

http://www.materialordner.de/XhJLSLRwPU5kR5exuFLscrf0VFALtUMe.html
http://www.materialordner.de/Zid7axcfFGlJJ7YqAbGciCsMVQlHCVw.html

3) ZHPDiag auch wie beschrieben laufen lassen, hier das Ergebnis:

Code:
Rapport de ZHPDiag v1.20 par Nicolas Coolman
Enregistré le 27.04.2009 10:42:08
Platform : Windows Vista (TM) Home Premium (6.0.6001) Service Pack 1
MSIE: Internet Explorer v7.0.6001.18000
MFIE: Mozilla Firefox (3.0.8)

---\\ Processus lancés
RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\vsnpstd3.exe
C:\Windows\tsnpstd3.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehTray.exe

---\\ Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,

---\\ Pages de démarrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

---\\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

---\\ Browser Helper Objects de navigateur (O2)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

---\\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [lxdiamon] "C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [snpstd3] C:\Windows\vsnpstd3.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\Windows\tsnpstd3.exe
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\policies\Explorer: [NoDrives] Data="0"

---\\ Invisibilité de l'icône d'options IE dans le panneau de Configuration (O5)
O5 - control.ini: inetcpl.cpl=no

---\\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFBARH.ICO

---\\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/...oUploader5.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get.../ultrashim.cab

---\\ Protocole additionnel et piratage de protocole (O18)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

---\\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030}

---\\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: Microsoft Windows Media Player - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
O40 - ASIC: Internet Explorer - {26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
O40 - ASIC: Browser Customizations - {60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
O40 - ASIC: Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - (not file)
O40 - ASIC: (no name) - {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - (not file)
O40 - ASIC: Microsoft Windows Media Player 11.0 - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\System32\wmpdxm.dll
O40 - ASIC: Adobe Shockwave Director 10.2 - {233C1507-6A77-46A4-9443-F871F945D258} - C:\Windows\System32\Macromed\Director\swdir.dll
O40 - ASIC: .NET Framework - {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - (not file)
O40 - ASIC: Adobe Shockwave Director 10.2 - {2A202491-F00D-11cf-87CC-0020AFEECF20} - (not file)
O40 - ASIC: Themes Setup - {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - C:\Windows\system32\regsvr32.exe /s /n /i:/UserInstall C:\Windows\system32\themeui.dll
O40 - ASIC: Offline Browsing Pack - {3af36230-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Microsoft Windows Mail 7 - {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
O40 - ASIC: (no name) - {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - (not file)
O40 - ASIC: DirectDrawEx - {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - (not file)
O40 - ASIC: Internet Explorer Help - {45ea75a0-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Microsoft Windows Script 5.7 - {4f645220-306d-11d2-995d-00c04f98bbc9} - (not file)
O40 - ASIC: Internet Explorer Setup Tools - {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Browsing Enhancements - {630b1da0-b465-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} - C:\Windows\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI
O40 - ASIC: MSN Site Access - {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - (not file)
O40 - ASIC: Address Book 7 - {7790769C-0471-11d2-AF11-00C04FA35D02} - (not file)
O40 - ASIC: .NET Framework - {7C028AF8-F614-47B3-82DA-BA94E41B1089} - (not file)
O40 - ASIC: Windows Desktop Update - {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
O40 - ASIC: Internet Explorer - {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
O40 - ASIC: (no name) - {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
O40 - ASIC: Dynamic HTML Data Binding - {9381D8F2-0288-11D0-9501-00AA00B911A5} - (not file)
O40 - ASIC: Internet Explorer Core Fonts - {C9E9A340-D1F1-11D0-821E-444553540600} - (not file)
O40 - ASIC: (no name) - {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - (not file)
O40 - ASIC: Adobe Flash Player - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\Windows\system32\Macromed\Flash\Flash10a.ocx
O40 - ASIC: HTML Help - {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Active Directory Service Interface - {E92B03AB-B707-11d2-9CBD-0000F87A369E} - (not file)

---\\ Logiciels installés (O42)
O42 - Logiciel: 2007 Microsoft Office Suite Service Pack 1 (SP1)
O42 - Logiciel: 2007 Microsoft Office system
O42 - Logiciel: 32 Bit HP CIO Components Installer
O42 - Logiciel: ABBYY FineReader 6.0 Sprint
O42 - Logiciel: AFPL Ghostscript Fonts
O42 - Logiciel: ALPS Touch Pad Driver
O42 - Logiciel: ASUS InstantFun
O42 - Logiciel: ASUS Splendid Video Enhancement Technology
O42 - Logiciel: ATK Generic Function Service
O42 - Logiciel: ATK Hotkey
O42 - Logiciel: ATK Media
O42 - Logiciel: ATKOSD2
O42 - Logiciel: Adobe Flash Player 10 ActiveX
O42 - Logiciel: Adobe Flash Player Plugin
O42 - Logiciel: Adobe Reader 8.1.3
O42 - Logiciel: Adobe Shockwave Player
O42 - Logiciel: Apple Mobile Device Support
O42 - Logiciel: ArcSoft Panorama Maker 3
O42 - Logiciel: Asus_Camera_ScreenSaver
O42 - Logiciel: Atheros Driver Installation Program
O42 - Logiciel: Avira AntiVir Personal - Free Antivirus
O42 - Logiciel: BlackBerry Desktop Software 4.3
O42 - Logiciel: BlackBerry Device Software v4.5.0 für das BlackBerry 8110-Smartphone
O42 - Logiciel: CCleaner (remove only)
O42 - Logiciel: COOLPIX CONNECT Utility
O42 - Logiciel: CleanUp!
O42 - Logiciel: DynoPlex eFile
O42 - Logiciel: EASYLINE WEBCAM EL-350
O42 - Logiciel: Favorit
O42 - Logiciel: Filzip 3.06
O42 - Logiciel: Foxit Reader
O42 - Logiciel: Google Earth
O42 - Logiciel: HijackThis 2.0.2
O42 - Logiciel: Java(TM) 6 Update 13
O42 - Logiciel: Lexmark 3500-4500 Series
O42 - Logiciel: Lexmark Fax-Lösungen
O42 - Logiciel: MSXML 4.0 SP2 (KB927978)
O42 - Logiciel: MSXML 4.0 SP2 (KB936181)
O42 - Logiciel: MSXML 4.0 SP2 (KB941833)
O42 - Logiciel: MSXML 4.0 SP2 (KB954430)
O42 - Logiciel: MSXML 4.0 SP2 Parser and SDK
O42 - Logiciel: Malwarebytes' Anti-Malware
O42 - Logiciel: Microsoft Office Access MUI (English) 2007
O42 - Logiciel: Microsoft Office Access MUI (German) 2007
O42 - Logiciel: Microsoft Office Access Setup Metadata MUI (English) 2007
O42 - Logiciel: Microsoft Office Excel MUI (English) 2007
O42 - Logiciel: Microsoft Office Excel MUI (German) 2007
O42 - Logiciel: Microsoft Office Home and Student 2007
O42 - Logiciel: Microsoft Office OneNote MUI (German) 2007
O42 - Logiciel: Microsoft Office Outlook MUI (English) 2007
O42 - Logiciel: Microsoft Office Outlook MUI (German) 2007
O42 - Logiciel: Microsoft Office PowerPoint MUI (English) 2007
O42 - Logiciel: Microsoft Office PowerPoint MUI (German) 2007
O42 - Logiciel: Microsoft Office Professional Hybrid 2007
O42 - Logiciel: Microsoft Office Project 2007 Service Pack 1 (SP1)
O42 - Logiciel: Microsoft Office Project MUI (German) 2007
O42 - Logiciel: Microsoft Office Project Professional 2007
O42 - Logiciel: Microsoft Office Project Professional 2007 Trial
O42 - Logiciel: Microsoft Office Proof (English) 2007
O42 - Logiciel: Microsoft Office Proof (French) 2007
O42 - Logiciel: Microsoft Office Proof (German) 2007
O42 - Logiciel: Microsoft Office Proof (Italian) 2007
O42 - Logiciel: Microsoft Office Proofing (English) 2007
O42 - Logiciel: Microsoft Office Proofing (German) 2007
O42 - Logiciel: Microsoft Office Publisher MUI (English) 2007
O42 - Logiciel: Microsoft Office Publisher MUI (German) 2007
O42 - Logiciel: Microsoft Office Shared MUI (English) 2007
O42 - Logiciel: Microsoft Office Shared MUI (German) 2007
O42 - Logiciel: Microsoft Office Shared Setup Metadata MUI (English) 2007
O42 - Logiciel: Microsoft Office Word MUI (English) 2007
O42 - Logiciel: Microsoft Office Word MUI (French) 2007
O42 - Logiciel: Microsoft Office Word MUI (German) 2007
O42 - Logiciel: Microsoft Visual C++ 2005 Redistributable
O42 - Logiciel: Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
O42 - Logiciel: Motorola SM56 Speakerphone Modem
O42 - Logiciel: Mozilla Firefox (3.0.8)
O42 - Logiciel: NB Probe
O42 - Logiciel: Nikon Message Center
O42 - Logiciel: ObjectDock
O42 - Logiciel: ObjectDock Plus
O42 - Logiciel: PictureProject
O42 - Logiciel: Pixie 1.4.1
O42 - Logiciel: Plazmic CDK 4.6 for BlackBerry
O42 - Logiciel: Power4Gear eXtreme
O42 - Logiciel: PowerForPhone
O42 - Logiciel: QuickTime
O42 - Logiciel: RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01
O42 - Logiciel: RealPlayer
O42 - Logiciel: Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
O42 - Logiciel: Realtek High Definition Audio Driver
O42 - Logiciel: Roxio Media Manager
O42 - Logiciel: SA31xx Device Manager & Media Converter
O42 - Logiciel: Screenshot Captor 2.44.01
O42 - Logiciel: Security Update for 2007 Microsoft Office System (KB951550)
O42 - Logiciel: Security Update for 2007 Microsoft Office System (KB951944)
O42 - Logiciel: Security Update for 2007 Microsoft Office System (KB960003)
O42 - Logiciel: Security Update for CAPICOM (KB931906)
O42 - Logiciel: Security Update for Microsoft Office Excel 2007 (KB959997)
O42 - Logiciel: Security Update for Microsoft Office OneNote 2007 (KB950130)
O42 - Logiciel: Security Update for Microsoft Office PowerPoint 2007 (KB951338)
O42 - Logiciel: Security Update for Microsoft Office Project 2007 (KB949046)
O42 - Logiciel: Security Update for Microsoft Office Publisher 2007 (KB950114)
O42 - Logiciel: Security Update for Microsoft Office Word 2007 (KB956358)
O42 - Logiciel: Security Update for Microsoft Office system 2007 (KB954326)
O42 - Logiciel: Security Update for Microsoft Office system 2007 (KB956828)
O42 - Logiciel: Shock 4Way 3D v1.27
O42 - Logiciel: Sierra Utilities
O42 - Logiciel: Skype™ 4.0
O42 - Logiciel: Spelling Dictionaries Support For Adobe Reader 8
O42 - Logiciel: Stardock MyColors
O42 - Logiciel: Systemsteuerung "MobileMe"
O42 - Logiciel: Update for Microsoft Office 2007 Help for Common Features (KB957244)
O42 - Logiciel: Update for Microsoft Office Access 2007 Help (KB957241)
O42 - Logiciel: Update for Microsoft Office Excel 2007 Help (KB957242)
O42 - Logiciel: Update for Microsoft Office Outlook 2007 (KB952142)
O42 - Logiciel: Update for Microsoft Office Outlook 2007 Help (KB957246)
O42 - Logiciel: Update for Microsoft Office PowerPoint 2007 Help (KB957247)
O42 - Logiciel: Update for Microsoft Office Publisher 2007 Help (KB957249)
O42 - Logiciel: Update for Microsoft Office Word 2007 Help (KB957252)
O42 - Logiciel: Update for Microsoft Script Editor Help (KB957253)
O42 - Logiciel: Update for Office 2007 (KB946691)
O42 - Logiciel: Update for Outlook 2007 Junk Email Filter (kb962871)
O42 - Logiciel: WinFlash
O42 - Logiciel: Windows Live Anmelde-Assistent
O42 - Logiciel: Windows Live Messenger
O42 - Logiciel: Windows Live installer
O42 - Logiciel: Wireless Console 2
O42 - Logiciel: eDocPrinter PDF Pro Ver 6.42
O42 - Logiciel: iTunes

---\\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Adobe
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Ahead
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Apple
O43 - CFD:Common File Directory - C:\Program Files\Common Files\DESIGNER
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Hewlett-Packard
O43 - CFD:Common File Directory - C:\Program Files\Common Files\HP
O43 - CFD:Common File Directory - C:\Program Files\Common Files\InstallShield
O43 - CFD:Common File Directory - C:\Program Files\Common Files\LightScribe
O43 - CFD:Common File Directory - C:\Program Files\Common Files\microsoft shared
O43 - CFD:Common File Directory - C:\Program Files\Common Files\muvee Technologies
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Nikon
O43 - CFD:Common File Directory - C:\Program Files\Common Files\PX Storage Engine
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Real
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Research In Motion
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Roxio Shared
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Services
O43 - CFD:Common File Directory - C:\Program Files\Common Files\snpstd3
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Sonic Shared
O43 - CFD:Common File Directory - C:\Program Files\Common Files\SpeechEngines
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Stardock
O43 - CFD:Common File Directory - C:\Program Files\Common Files\System
O43 - CFD:Common File Directory - C:\Program Files\Common Files\WindowsLiveInstaller
O43 - CFD:Common File Directory - C:\Program Files\Common Files\xing shared

---\\ Derniers fichiers modifiés ou crées sous System32 (O44)
O44 - LFC:Last File Created - C:\Windows\System32\acovcnt.exe -->26.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\amxread.dll -->17.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\apilogen.dll -->17.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\deploytk.dll -->09.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\FldLckINSTALL.LOG -->30.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\FNTCACHE.DAT -->13.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\html.iec -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\iasads.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\iasdatastore.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\iashost.exe -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\iasrecst.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\ieaksie.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\iedkcs32.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\ieencode.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\ieframe.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\iertutil.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\ieUnatt.exe -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\java.exe -->09.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\javaw.exe -->09.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\javaws.exe -->09.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\jsproxy.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\jupdate-1.6.0_13-b03.log -->28.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\kernel32.dll -->13.02.2009
O44 - LFC:Last File Created - C:\Windows\System32\lckfldservicelog.txt -->30.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\LexFiles.ulf -->04.02.2009
O44 - LFC:Last File Created - C:\Windows\System32\lsasrv.dll -->13.02.2009
O44 - LFC:Last File Created - C:\Windows\System32\mrt.exe -->06.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\MRT.INI -->01.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\msfeeds.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\mshtml.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\mshtml.tlb -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\mstime.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\ntkrnlpa.exe -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\ntoskrnl.exe -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\occache.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\perfc009.dat -->25.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\perfh009.dat -->25.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\PerfStringBackup.INI -->25.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\pool.bin -->25.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\printfilterpipelineprxy.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\printfilterpipelinesvc.exe -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\rpcss.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\sdohlp.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\secur32.dll -->13.02.2009
O44 - LFC:Last File Created - C:\Windows\System32\urlmon.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\usbaaplrc.dll -->26.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\win32k.sys -->09.02.2009
O44 - LFC:Last File Created - C:\Windows\System32\wininet.dll -->03.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\drivers\avgntflt.sys -->13.02.2009
O44 - LFC:Last File Created - C:\Windows\System32\drivers\avipbb.sys -->13.02.2009
O44 - LFC:Last File Created - C:\Windows\System32\drivers\GEARAspiWDM.sys -->19.03.2009
O44 - LFC:Last File Created - C:\Windows\System32\drivers\mbam.sys -->06.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\drivers\mbamswissarmy.sys -->06.04.2009
O44 - LFC:Last File Created - C:\Windows\System32\drivers\ssmdrv.sys -->13.02.2009
O44 - LFC:Last File Created - C:\Windows\System32\drivers\usbaapl.sys -->26.03.2009

---\\ Déni du service (Local Security Authority) (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages -
O48 - LSA:Local Security Authority Notification Packages -

---\\ Trojan Driver Search Data (TDSD) (O52)
O52 - TDSD:HKLM\...\Drivers\"timer"="timer.drv"
O52 - TDSD:HKLM\...\Drivers32\"vidc.mrle"="msrle32.dll"
O52 - TDSD:HKLM\...\Drivers32\"vidc.msvc"="msvidc32.dll"
O52 - TDSD:HKLM\...\Drivers32\"msacm.imaadpcm"="imaadp32.acm"
O52 - TDSD:HKLM\...\Drivers32\"msacm.msg711"="msg711.acm"
O52 - TDSD:HKLM\...\Drivers32\"msacm.msgsm610"="msgsm32.acm"
O52 - TDSD:HKLM\...\Drivers32\"msacm.msadpcm"="msadp32.acm"
O52 - TDSD:HKLM\...\Drivers32\"midimapper"="midimap.dll"
O52 - TDSD:HKLM\...\Drivers32\"wavemapper"="msacm32.drv"
O52 - TDSD:HKLM\...\Drivers32\"VIDC.UYVY"="msyuv.dll"
O52 - TDSD:HKLM\...\Drivers32\"VIDC.YUY2"="msyuv.dll"
O52 - TDSD:HKLM\...\Drivers32\"VIDC.YVYU"="msyuv.dll"
O52 - TDSD:HKLM\...\Drivers32\"VIDC.IYUV"="iyuv_32.dll"
O52 - TDSD:HKLM\...\Drivers32\"vidc.i420"="iyuv_32.dll"
O52 - TDSD:HKLM\...\Drivers32\"VIDC.YVU9"="tsbyuv.dll"
O52 - TDSD:HKLM\...\Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm"
O52 - TDSD:HKLM\...\Drivers32\"vidc.cvid"="iccvid.dll"
O52 - TDSD:HKLM\...\Drivers32\"wave"="wdmaud.drv"
O52 - TDSD:HKLM\...\Drivers32\"midi"="wdmaud.drv"
O52 - TDSD:HKLM\...\Drivers32\"mixer"="wdmaud.drv"
O52 - TDSD:HKLM\...\Drivers32\"aux"="wdmaud.drv"
O52 - TDSD:HKLM\...\Drivers32\"wave1"="serwvdrv.dll"
O52 - TDSD:HKLM\...\Drivers32\"msacm.siren"="sirenacm.dll"
O52 - TDSD:HKLM\...\Drivers32\"MSVideo8"="VfWWDM32.dll"

---\\ Microsoft Windows Policies System (MWPS) (O55)
O55 - MWPS:[HKLM\...\Policies\System] - "ConsentPromptBehaviorAdmin"=2
O55 - MWPS:[HKLM\...\Policies\System] - "ConsentPromptBehaviorUser"=1
O55 - MWPS:[HKLM\...\Policies\System] - "EnableInstallerDetection"=1
O55 - MWPS:[HKLM\...\Policies\System] - "EnableLUA"=1
O55 - MWPS:[HKLM\...\Policies\System] - "EnableSecureUIAPaths"=1
O55 - MWPS:[HKLM\...\Policies\System] - "EnableVirtualization"=1
O55 - MWPS:[HKLM\...\Policies\System] - "PromptOnSecureDesktop"=1
O55 - MWPS:[HKLM\...\Policies\System] - "ValidateAdminCodeSignatures"=0
O55 - MWPS:[HKLM\...\Policies\System] - "dontdisplaylastusername"=0
O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticecaption"=
O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticetext"=
O55 - MWPS:[HKLM\...\Policies\System] - "scforceoption"=0
O55 - MWPS:[HKLM\...\Policies\System] - "shutdownwithoutlogon"=1
O55 - MWPS:[HKLM\...\Policies\System] - "undockwithoutlogon"=1
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
O55 - MWPS:[HKLM\...\Policies\System] - "DisableRegistryTools"=0

---\\ Microsoft Windows Policies Explorer (MWPE) (O56)
O56 - MWPE:[HKLM\...\Policies\Explorer] - "NoDrives"=0


End of the scan:
Ciao Alex

john.doe 27.04.2009 15:08
Unsere Analyseprogramme geben verwirrende Aussagen. Lasse bitte ComboFix nocheinmal laufen und lade das aktuelle ComboFix-Log bei www.file-upload.net hoch und poste den Link.

Anschliessend:
Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Driver::
msqpdxserv.sys
gusvc

RegLock::
[HKEY_USERS\.Default\CMI-CreateHive{274AB9BD-5778-42E7-84B9-863B8D8DF87A}\Software\Tracker Software\PDF-XChange Lite 3.0]

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{51C70CC5-845D-42DA-B54E-5CF2B2957A3A}c:\\srn micro\\soloscan.exe"=-
"UDP Query User{94083DE8-E26A-48B8-A737-759DCBEEA9F9}c:\\srn micro\\soloscan.exe"=-
"{CCDC1BA0-964E-4E09-97E4-981603D84434}"=-
"{E1032BD6-45B2-46A9-925A-7D3E9255BEBA}"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

Folder::
C:\rsit
C:\SRN Micro
c:\users\Lex\AppData\Roaming\SUPERAntiSpyware.com
C:\Program Files\Google\Common\Google Updater

File::
C:\Windows\system32\drivers\msqpdxxircqony.sys
C:\log.txt_24.04.2009_2.txt
c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012008051920080520\index.dat
c:\users\Lex\AppData\Local\kxche.bat
C:\Windows\system32\lckfldservicelog.txt
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten oder bei www.file-upload.net hochladen.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Lex13 27.04.2009 17:43
Hey Andreas,

dass hört sich aber nicht gut an :headbang:
Was bedeutet denn "verwirrend"?

Hmm also hier das Log vom neuen Combofix:

File-Upload.net - 27.04.2009_1_log.txt

und hier nach einsetzten des Scripts:

File-Upload.net - 27.04.2009_2_log.txt

Ciao Alex

john.doe 27.04.2009 18:18
Zitat:
Was bedeutet denn "verwirrend"?
Der eine hat etwas angezeigt, die anderen beiden nicht. Durch Ausführung des Skriptes weiß ich jetzt, dass es noch da war. Die Programmierer werden informiert, damit dieser Fehler behoben wird.

Ansonsten sieht das Log sauber aus. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

1.) Start => Ausführen => combofix /u => OK

2.) GMER - Rootkit Detection

http://pic.leech.it/i/ab0bc/635985fgmer60.jpg
  • Lade Trallala von file-upload.net
  • Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
  • Doppelklick auf Trallala.exe
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

4.) Cureit Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

ciao, andreas

Lex13 27.04.2009 18:24
:) also dem Rechner gehts schon besser.
Sag ich jetzt einfach mal so. Bin zwar schon lange nichtmehr mit Firefox ins Netzt gegangen, werde es aber später mal probieren, ob noch Auffälligkeiten da sind.
Arbeite jetzt erstmal die neue Liste ab. :)

Lex13 28.04.2009 16:07
Hi Andreas,

also ich habe die Punkte 1-3 abarbeiten können. Leider gab es mit Punkt 4 Probleme. Hab den Link genuzt, den du mir mitgeschickt hattest und Dr.Web runtergeladen. Auch wie beschrieben entpackt, nur leider habe ich nur eine Textdatei und eine die nennt sich drwtoday.vdb
Kann also nix ausführen. Hab es wie beschrieben auf dem Desktop gespeichert und in nen eigenen Ordner entpackt. Was mach ich falsch?

Also hier erstmal die ersten 3 Punkte.

1) Combofix wie beschrieben gelöscht. Wurde alles entfernt.

2) GMER laufen lassen, danach wieder deinstalliert. Hier das Link zum Log:

http://www.materialordner.de/riEpczu...avTowvx9L.html

3) Kaspersky online laufenlassen. Hier das Link zum Log:

http://www.materialordner.de/vlLSQIo...S1WRkzJOV.html

4) Wie erwähnt gepackt auf Desktop geladen und versucht zu entpacken.

Kann ich ZHPDiag von Nicolas Coolman wieder löschen?

Ciao Alex

john.doe 28.04.2009 16:24
Hallo Alex,

Zitat:
Was mach ich falsch?
Der Downloadlink für CureIt ist in der Anleitung. :)

Du hast nur die Aktualisierung geladen.
Zitat:
Kann ich ZHPDiag von Nicolas Coolman wieder löschen?
Ja.
Ich muss noch Logs lesen.

ciao, andreas

Lex13 28.04.2009 16:42
Der Downloadlink für CureIt ist in der Anleitung. :)

:uglyhammer: peinlich, peinlich

Merci

Lex13 28.04.2009 21:38
Hey Andreas,

also der Dr.Web ist jetzt durch. Ne Logdatei wie in der Beschreibung entseht bei mir aber nicht :)
sondern nur nen Excelsheet. Gibt nur 2 Funde:
TrySolo.exe\data007
C:\Users\Lex\Downloads\TrySolo.exe
Wahrscheinlich DLOADER:Trojaner

TrySolo.exe
C:\Users\Lex\Downloads
Archiv enthält infizierte Objekte

Ciao Alex


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:48 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131