Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner von Malwarebytes nach jedem Neustart (i. Registrierungsdatenschlüssel) (https://www.trojaner-board.de/84015-trojaner-malwarebytes-neustart-i-registrierungsdatenschluessel.html)

cmairborne 23.03.2010 22:03
Trojaner von Malwarebytes nach jedem Neustart (i. Registrierungsdatenschlüssel)
 
Nach jedem Neustart meldet mir der Scan von Malwarebytes infizierte Registrierungsdatenschlüssel.

Gibt es da wohl eine Chance zur dauerhaften Löschung der infizierten Dateien oder hilft nur eine völlige Neuinstallation? Für Hilfe wäre ich sehr dankbar.

Hier der Logreport:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3906
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

23.03.2010 21:40:21
mbam-log-2010-03-23 (21-40-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 109175
Laufzeit: 4 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

info.txt logfile of random's system information tool 1.06 2010-03-23 21:48:19

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->"C:\Programme\7-Zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Atheros WLAN Client-->"C:\Programme\InstallShield Installation Information\{F4F41D14-E0DD-4FB4-AA09-A14225C769BD}\setup.exe" -runfromtemp -l0x0007 -removeonly
Auslogics Disk Defrag-->"C:\Programme\Auslogics\Auslogics Disk Defrag\unins000.exe"
Biet-O-Matic v2.12.0-->C:\PROGRA~1\BIET-O~1\UNWISE.EXE C:\PROGRA~1\BIET-O~1\install.log
CCleaner-->"C:\Programme\CCleaner\uninst.exe"
Connection Manager-->"C:\Programme\InstallShield Installation Information\{077E2E73-01E0-4F37-81AD-C93C6C2F0933}\setup.exe" -runfromtemp -l0x0007 -removeonly
Easy Display Manager-->"C:\Programme\InstallShield Installation Information\{17283B95-21A8-4996-97DA-547A48DB266F}\setup.exe" -runfromtemp -l0x0009 -removeonly
ESET NOD32 Antivirus-->MsiExec.exe /I{C10D6AB8-05BB-422D-AAE3-36D6E0381487}
Free FLV Converter V 6.7.4-->"C:\Programme\Free FLV Converter\unins000.exe"
FreeCommander 2009.02a-->"C:\Programme\FreeCommander\unins000.exe"
GMX Toolbar-->C:\PROGRA~1\GMX\GMXTOO~1\UNWISE.EXE C:\PROGRA~1\GMX\GMXTOO~1\INSTALL.LOG
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
imagine digital freedom - Samsung-->MsiExec.exe /X{8E106A57-A17E-431D-B48F-175E42EB9F74}
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Magic Keyboard-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BD723E53-A42C-4702-AA04-1D74A0311590}\Setup.exe" -l0x9 Remove
MailCheck 2.55-->"C:\Programme\MailCheck\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver-->C:\Programme\Marvell\Miniport Driver\Uninst.exe
Mozilla Firefox (3.6.2pre)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
Namuga 1.3M Webcam-->C:\Programme\InstallShield Installation Information\{71A51B59-E7D3-11DB-A386-005056C00008}\setup.exe -runfromtemp -l0x0009 -removeonly
NodEnabler 3.0-->C:\Programme\ESET\NodEnabler\Uninstall.exe
OpenOffice.org 3.0-->MsiExec.exe /I{7EC19307-7C22-47A8-922B-3FA965291260}
Play Camera-->C:\Programme\InstallShield Installation Information\{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}\setup.exe -runfromtemp -l0x0407
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x7 -removeonly
Samsung Battery Manager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6F730513-8688-4C3C-90A3-6B9792CE2EF3}\Setup.exe" -l0x7 Remove
Samsung EDS-->MsiExec.exe /X{ABB14904-A11B-4F42-996C-80FD608A0F17}
SAMSUNG HSPA Modem Software-->C:\WINDOWS\system32\Samsung_USB_Drivers\MODEM\HSPAUninstall.exe
Samsung Magic Doctor-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}\Setup.exe" -l0x7 Remove
Samsung Network Manager 2.0-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{DEA48EFD-22C1-4CD6-B887-EB2E6B2E4735} /l1031
Samsung Recovery Solution III-->"C:\Programme\InstallShield Installation Information\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}\setup.exe" -runfromtemp -l0x0007 -removeonly
Samsung Update Plus-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{685707A4-911C-468D-BFC4-64A50E5E3A0C} /l1031
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Spyware Terminator-->"C:\Programme\Spyware Terminator\unins000.exe"
Synaptics Pointing Device Driver-->rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
User Guide-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}\setup.exe" -l0x7 Remove
VLC media player 1.0.5-->C:\Programme\VideoLAN\VLC\uninstall.exe
XnView 1.96.5-->"C:\Programme\XnView\unins000.exe"

=====HijackThis Backups=====

O20 - Winlogon Notify: cbssreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\cbss.dll [2010-03-23]

======Security center information======

AV: ESET NOD32 Antivirus 3.0

======System event log======

Computer Name: CHRIS
Event Code: 7036
Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt".

Record Number: 8453
Source Name: Service Control Manager
Time Written: 20100116125735.000000+060
Event Type: Informationen
User:

Computer Name: CHRIS
Event Code: 7036
Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 8452
Source Name: Service Control Manager
Time Written: 20100116125735.000000+060
Event Type: Informationen
User:

Computer Name: CHRIS
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.

Record Number: 8451
Source Name: Service Control Manager
Time Written: 20100116125735.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: CHRIS
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 8450
Source Name: Service Control Manager
Time Written: 20100116125735.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: CHRIS
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 8449
Source Name: Service Control Manager
Time Written: 20100116125735.000000+060
Event Type: Informationen
User:

=====Application event log=====

Computer Name: CHRIS
Event Code: 5000
Message:
Record Number: 5
Source Name: McLogEvent
Time Written: 20090316223230.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: CHRIS
Event Code: 1800
Message: Der Windows-Sicherheitscenterdienst wurde gestartet.

Record Number: 4
Source Name: SecurityCenter
Time Written: 20090316223202.000000+060
Event Type: Informationen
User:

Computer Name: Chris
Event Code: 11728
Message: Produkt: Play Camera -- Configuration completed successfully.

Record Number: 3
Source Name: MsiInstaller
Time Written: 20090316221745.000000+060
Event Type: Informationen
User: CHRIS\Christian

Computer Name: Chris
Event Code: 11707
Message: Produkt: Play Camera -- Installationsvorgang erfolgreich abgeschlossen.

Record Number: 2
Source Name: MsiInstaller
Time Written: 20090316221742.000000+060
Event Type: Informationen
User: CHRIS\Christian

Computer Name: Chris
Event Code: 11728
Message: Product: WebFldrs XP -- Configuration completed successfully.

Record Number: 1
Source Name: MsiInstaller
Time Written: 20090316221615.000000+060
Event Type: Informationen
User: CHRIS\Christian

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 28 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=1c02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

Sion 24.03.2010 14:37
Wegen dem Backdoor wäre eine Neuinstallation am sichersten.

Wenn du aber wagemütig bist, brauchen die Helfer hier erstmal vollständige Logs (hast vom RSIT nur die info.txt gepostet).

Ein GMER Log kannst du auch gleich posten.

cmairborne 25.03.2010 22:09
Ich habe mal aufs experimentieren verzichtet und neu aufgesetzt.
Das ging in einer halben Stunde. Vielen Dank!


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24