|
Laptop auch infiziert, Logfile nach Malwarebytes Anti Malware Hallo, hier das Logfile nach Anti-Malware Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1036 Windows 5.1.2600 Service Pack 1 16:02:14 10.08.2008 mbam-log-8-10-2008 (16-02-14).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|) Durchsuchte Objekte: 29792 Laufzeit: 41 minute(s), 55 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\opnlkhIx.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\fdzsqy.dll (Trojan.Vundo) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b8e533c-c440-4ed4-824f-ca9ba3327911} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{6b8e533c-c440-4ed4-824f-ca9ba3327911} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ed2ed207-16e2-4e50-a0f0-e691491c0761} (Trojan.Vundo) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{ed2ed207-16e2-4e50-a0f0-e691491c0761} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{42bfabd3-b070-4053-9485-30d7e000d3d3} (Trojan.BHO) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{42bfabd3-b070-4053-9485-30d7e000d3d3} (Trojan.BHO) -> Delete on reboot. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnlkhix -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnlkhix -> Delete on reboot. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\fdzsqy.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\opnlkhIx.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\xIhklnpo.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xIhklnpo.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ixvrbvny.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ynvbrvxi.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mulcbosd.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\dsobclum.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fcccaWmj.dll (Trojan.BHO) -> Delete on reboot. So wie ich das sehe ist alles entfernt, oder? Sind noch 38 Objekte in Quaratäne, kann ich dann doch löschen?! Bei Neustart kam eine Fehlermelung, dass irgendeine .dll fehlt.. hab das hier im Forum schonmal irgendwo gelesen. Muss ich da was machen? Hab die meldung weggeklickt... |
Hallo Stina307. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Mache danach noch einen Scan mit SuperAntiSpyware und Anti-Malware und poste die logs. Poste außerdem ein Hijackthis log. |
Hallo, hier schonmal der Log nach ComboFix ComboFix 08-08-19.02 - *********** 2008-08-20 15:58:13.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.157 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\*****\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\*********\Cookies\kerstin satzinger@advertising[1].txt C:\WINDOWS\Downloaded Program Files\setup.inf C:\WINDOWS\system32\aoulsu.dll C:\WINDOWS\system32\bfimbsxp.ini C:\WINDOWS\system32\bwdnegxm.ini C:\WINDOWS\system32\cbqthkfe.dll C:\WINDOWS\system32\cqlimnkt.dll C:\WINDOWS\system32\dvieauqq.dll C:\WINDOWS\system32\ggtqdr.dll C:\WINDOWS\system32\hoqjikfp.dll C:\WINDOWS\system32\hpemuk.dll C:\WINDOWS\system32\ibtvhcfi.dll C:\WINDOWS\system32\idytcrjc.dll C:\WINDOWS\system32\iimhojiy.dll C:\WINDOWS\system32\jpnjga.dll C:\WINDOWS\system32\kinbcr.dll C:\WINDOWS\system32\kmxgxlay.dll C:\WINDOWS\system32\kqopdjme.ini C:\WINDOWS\system32\kyqytjkj.ini C:\WINDOWS\system32\lalgoc.dll C:\WINDOWS\system32\lehlcvpa.dll C:\WINDOWS\system32\mpruvpuu.ini C:\WINDOWS\system32\nmuoclbj.dll C:\WINDOWS\system32\ocoxsahl.ini C:\WINDOWS\system32\oqhggi.dll C:\WINDOWS\system32\pdbiqq.dll C:\WINDOWS\system32\qkvyoaep.dll C:\WINDOWS\system32\qulasbun.dll C:\WINDOWS\system32\rngwfsvd.dll C:\WINDOWS\system32\rxmwqjvp.dll C:\WINDOWS\system32\swbkmptd.dll C:\WINDOWS\system32\wcklpewf.ini C:\WINDOWS\system32\wuvujcbu.dll C:\WINDOWS\system32\yceiesja.ini C:\WINDOWS\system32\ygedbpuh.dll C:\WINDOWS\system32\ynfvkvpv.dll C:\WINDOWS\system32\yudybg.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-07-20 bis 2008-08-20 )))))))))))))))))))))))))))))) . 2008-08-10 15:18 . 2008-08-10 15:18 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes 2008-08-10 15:17 . 2008-08-10 15:18 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-10 15:17 . 2008-08-10 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-10 15:17 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-10 15:17 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-10 13:08 . 2008-08-10 16:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-08-10 13:06 . 2008-08-10 13:06 <DIR> d-------- C:\Dokumente und Einstellungen\*********\Anwendungsdaten\Talkback 2008-08-10 13:04 . 2008-08-10 13:04 <DIR> d-------- C:\Programme\Skype 2008-08-10 13:04 . 2008-08-10 13:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-08-10 13:02 . 2008-08-10 13:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2008-08-10 13:02 . 2008-08-10 13:02 0 --a------ C:\WINDOWS\nsreg.dat 2008-08-10 13:00 . 2008-08-10 16:22 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-08-10 12:50 . 2008-08-10 12:51 <DIR> d-------- C:\Programme\Google 2008-08-10 12:50 . 2008-08-19 20:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-08-04 22:56 . 2008-08-04 22:56 91,648 --a------ C:\WINDOWS\system32\erlpuksq.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-10 12:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-08-10 10:16 --------- d-----w C:\Programme\PantsOff 2008-07-30 20:29 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-24 18:26 86,400 ----a-w C:\WINDOWS\~GLC0000.TMP . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 04:43 13312] "MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" [2004-11-15 17:18 1670144] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-10 12:50 39408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CAP3ON"="C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2007-01-19 12:19 28288] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 04:52 36975] "USB-TenKey"="C:\PROGRA~1\USBTnKey\USBTnKey.EXE" [2002-05-24 12:20 94208] "USBKPDrv"="C:\PROGRA~1\USBTnKey\KPDrv4XP.EXE" [2002-02-20 12:18 32768] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-07-24 21:21 180269] "LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 13:59 532776] "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-08-10 12:51 29744] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 04:43 13312] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 17:23:32 74308] Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-09-25 13:59:52 532776] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Statusfenster für Canon LASER SHOT LBP-1120.LNK] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Statusfenster für Canon LASER SHOT LBP-1120.LNK backup=C:\WINDOWS\pss\Statusfenster für Canon LASER SHOT LBP-1120.LNKCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] --a------ 2004-02-24 22:10 335872 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] --a------ 2003-11-20 17:18 499712 C:\Programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] --a------ 2003-11-20 17:19 98304 C:\Programme\Synaptics\SynTP\SynTPLpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange] --a------ 2001-09-04 18:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2004-05-14 16:47 67072 C:\WINDOWS\SOUNDMAN.EXE R2 USBKBFlt;Dritek USB Keypad Filter;C:\WINDOWS\System32\DRIVERS\USBKBFlt.SYS [2001-01-05 11:03] R3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\System32\DRIVERS\PRISMA00.sys [2004-02-02 13:05] R3 tifmsi;tifmsi;C:\WINDOWS\System32\drivers\tifmsi.sys [2004-02-17 17:37] S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-08-10 12:51] S3 S6U12AScanner;MUSTEK 1200 CU PLUS Still Image Device Service;C:\WINDOWS\System32\drivers\usbscan.sys [2002-08-29 01:48] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-AVGCtrl - C:\Programme\AVPersonal\AVGNT.EXE Notify-fcccaWmj - fcccaWmj.dll Notify-WgaLogon - (no file) . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\**********\Anwendungsdaten\Mozilla\Firefox\Profiles\ofh3oz2c.default\ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-20 16:04:48 Windows 5.1.2600 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2008-08-20 16:10:04 ComboFix-quarantined-files.txt 2008-08-20 14:08:55 Pre-Run: 12 Verzeichnis(se), 22,710,992,896 Bytes frei Post-Run: 16 Verzeichnis(se), 23,548,440,576 Bytes frei 142 --- E O F --- 2007-12-01 10:27:46 |
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Wozu brauchst du denn PantsOff? |
So, hier schonmal der Logfile nach Malwarbytes... alles sauber demnach...oder? Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1036 Windows 5.1.2600 Service Pack 1 20:11:02 20.08.2008 mbam-log-8-20-2008 (20-11-02).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|) Durchsuchte Objekte: 116413 Laufzeit: 1 hour(s), 6 minute(s), 13 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Der Rest folgt gleich... |
So, hier das Ergebnis von Virustotal Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - HEUR/Crypted Authentium - - - Avast - - - AVG - - Generic11.EXG BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - Suspicious File eTrust-Vet - - Win32/Vundo.AUB Ewido - - - F-Prot - - - F-Secure - - - Fortinet - - - GData - - - Ikarus - - Virus.Win32.Monder.ES K7AntiVirus - - - Kaspersky - - - McAfee - - Vundo Microsoft - - Trojan:Win32/Vundo.gen!T NOD32v2 - - a variant of Win32/Adware.Virtumonde.NAP Norman - - - Panda - - Generic Trojan PCTools - - - Prevx1 - - Worm Rising - - - Sophos - - Sus/Behav-278 Sunbelt - - - TheHacker - - - TrendMicro - - TROJ_VUNDO.DNH VBA32 - - - ViRobot - - - VirusBuster - - - Webwasher-Gateway - - Heuristic.Crypted weitere Informationen MD5: 9b786eb2651dd6f1fbfadb967b6c6714 SHA1: 8aa1f9aa692debcabcc23e3a890bdeff2873a646 SHA256: 0d1b3e9c5baf6e2978988acf1124ec559d56623bf1026770b830a533cde816d2 SHA512: d64b49c88c014f96d0b4f20e9e8e9f9e6977c4b3aa5ea55f42c3424c57012380926eff03b88e30c2d4d29a8a245d25cab488ef6097c29a1408d738eecdc50770 Das sieht wohl nicht so dolle aus... Das mit den versteckten Dateien hab ich so eingestellt... aber wenn ich C: komplett durchsuchen lasse, da kommt ja alles... also 1000e Bilder usw. was soll ich denn damit? Ich wollte doch NUR die versteckten Dateien... wie mache ich das?? PantsOff? Wieso, ist das was schlimmes :) ? |
Zitat:
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: Files to delete:
|
Hier das Ergebnis: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 1) Thu Aug 21 14:30:09 2008 14:30:09: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\erlpuksq.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
Gut. Hast du noch Probleme? Aus meiner warte aus ist alles sauber. |
Hallo, dank Dir schonmal für Deine Hilfe... werde zur Sicherheit nochmal einen kompletten Check machen! Und danach wohl noch etwas aufrüsten in Sachen Sicherheit :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board