Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   HDD LOW hat mich auch erwischt (https://www.trojaner-board.de/94191-hdd-low-hat-mich-erwischt.html)

3force 27.12.2010 19:36
HDD LOW hat mich auch erwischt
 
Leider habe ich auch ein Problem mit dem HDD Low Trojaner/Virus. Unten angefügt mein Logfile.
Combofix Logfile:
Code:
ComboFix 10-12-26.01 - ladmin 27.12.2010 19:20:33.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3536.2855 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Enabled/Outdated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
* Im Speicher befindliches AV aktiv.
 
.
 
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
 
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Install.exe
c:\windows\system32\clauth1.dll
c:\windows\system32\clauth2.dll
c:\windows\system32\lsprst7.dll
c:\windows\system32\nsprs.dll
c:\windows\system32\serauth1.dll
c:\windows\system32\serauth2.dll
c:\windows\system32\ssprs.dll
 
----- BITS: Eventuell infizierte Webseiten -----
 
hxxp://[dass ist eine Seite meiner Uni]:80
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-27 bis 2010-12-27 ))))))))))))))))))))))))))))))
.
 
2010-12-16 15:22 . 2010-12-16 15:22    --------    d-----w-    c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\javasharedresources
2010-12-16 14:17 . 2010-12-16 14:17    --------    d-----w-    c:\dokumente und einstellungen\ladmin\.spss
2010-12-16 14:17 . 2010-12-16 14:17    --------    d-----w-    c:\dokumente und einstellungen\ladmin\Lokale Einstellungen\Anwendungsdaten\javasharedresources
2010-12-16 14:10 . 2010-12-16 14:15    --------    d-----w-    c:\programme\Common Files
2010-12-16 14:10 . 2010-12-16 14:10    --------    d--h--w-    c:\programme\Zero G Registry
2010-12-16 14:10 . 2010-12-16 14:10    --------    d--h--w-    c:\dokumente und einstellungen\ladmin\InstallAnywhere
2010-12-16 14:08 . 2010-12-16 14:08    --------    d-----w-    c:\programme\Gemeinsame Dateien\IBM
2010-12-16 14:07 . 2010-12-16 14:07    --------    d-----w-    c:\programme\IBM
2010-12-14 19:56 . 2010-12-14 19:56    --------    d-----w-    c:\programme\SyncToy 2.1
2010-12-14 19:55 . 2010-12-14 19:55    --------    d-----w-    c:\programme\Microsoft Sync Framework
 
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-05-04 13:34    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-05-04 13:34    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-11-18 18:12 . 2010-03-01 16:25    86016    ----a-w-    c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2010-03-31 15:11    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2010-03-31 15:09    43520    ----a-w-    c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2010-03-31 15:08    1469440    ----a-w-    c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2010-03-31 15:08    385024    ----a-w-    c:\windows\system32\html.iec
2010-11-02 15:17 . 2010-03-31 15:10    40960    ----a-w-    c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2010-03-31 15:06    290048    ----a-w-    c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2010-03-31 15:11    1853440    ----a-w-    c:\windows\system32\win32k.sys
.
 
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\udaterui.exe" [2010-02-18 136512]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2010-01-06 124240]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"ConnectionCenter"="c:\programme\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-12-31 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 142360]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-08-27 471040]
"ConnectPrinter"="c:\windows\system32\DruckerVerbindenStart.vbs" [2009-01-30 121]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2008-12-21 200704]
"Eraser"="c:\progra~1\Eraser\Eraser.exe" [2010-04-10 979344]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-07-16 25607976]
 
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-8-15 604776]
VPN Client.lnk - c:\windows\Installer\{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}\Icon3E5562ED7.ico [2010-5-4 6144]
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DefaultLogonDomain"= DOMAIN meiner Uni
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4253473865-3197154111-2873975343-1720\Scripts\Logon\0\0]
"Script"=deladminuser.cmd
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4253473865-3197154111-2873975343-34622\Scripts\Logon\0\0]
"Script"=deladminuser.cmd
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4253473865-3197154111-2873975343-52132\Scripts\Logon\0\0]
"Script"=deladminuser.cmd
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4253473865-3197154111-2873975343-92841\Scripts\Logon\0\0]
"Script"=deladminuser.cmd
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\Programme\\Citrix\\ICA Client\\wfica32.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\windows\system32\ccm\clicomp\RemCtrl\RCServer.exe"= c:\windows\system32\ccm\clicomp\RemCtrl\RCServer.exe:130.133.0.0/255.255.0.0,160.45.0.0/255.255.0.0:Enabled:SMSRemoteTools
"c:\windows\system32\RCAgent.exe"= c:\windows\system32\RCAgent.exe:130.133.0.0/255.255.0.0,160.45.0.0/255.255.0.0:Enabled:SMSRemoteTools2
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung
"139:TCP"= 139:TCP:160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22004
"445:TCP"= 445:TCP:160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22005
"137:UDP"= 137:UDP:160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22001
"138:UDP"= 138:UDP:160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22002
"3389:TCP"= 3389:TCP:160.45.8.128/255.255.255.128,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22009
 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
"RemoteAddresses"= 160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192
"Enabled"= 1 (0x1)
 
R1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\drivers\ctxusbm.sys [8.9.2009 18:13 65584]
R2 Credential Vault Host Control Service;Credential Vault Host Control Service;c:\programme\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe [17.12.2009 09:45 812448]
R2 Credential Vault Host Storage;Credential Vault Host Storage;c:\programme\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe [17.12.2009 09:45 27040]
R2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\EngineServer.exe [6.1.2010 20:07 22816]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [1.3.2010 17:46 70728]
R2 USBDLM;USBDLM;c:\programme\USBDLM\USBDLM.exe [18.9.2008 12:39 156160]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [4.5.2010 11:41 112128]
R3 CCIDFILTER;Broadcom Smart Card Reader Filter Driver;c:\windows\system32\drivers\ccidflt.sys [4.5.2010 11:41 12840]
R3 cvusbdrv;Dell ControlVault;c:\windows\system32\drivers\cvusbdrv.sys [4.5.2010 11:40 33832]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [4.5.2010 11:40 241880]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [4.5.2010 11:40 110080]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 12:16 130384]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [1.3.2010 17:46 66600]
S3 ta1100;ta1100.sys S110 USB Infrared Controller;c:\windows\system32\drivers\ta1100.sys [31.5.2010 21:27 31048]
S3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\drivers\vmxnet.sys [31.3.2010 16:12 36912]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [31.3.2010 16:10 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 12:16 753504]
 
--- Andere Dienste/Treiber im Speicher ---
 
*Deregistered* - uphcleanhlp
 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM    REG_MULTI_SZ    WINRM
 
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\DisableQuickTimeUpdate]
2009-09-25 10:02    367    ----a-w-    c:\programme\QuickTime\DisableQuickTimeUpdate\DisableUpdate.cmd
 
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\VLC Media Player]
2009-05-28 14:15    334    ----a-w-    c:\programme\VideoLAN\VLC\settings.cmd
.
Inhalt des "geplante Tasks" Ordners
 
2010-12-27 c:\windows\Tasks\DeleteSCCMHistory.job
- c:\windows\DelSCCMHistory.cmd [2010-05-04 08:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://Domain meiner Uni
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\ladmin\Anwendungsdaten\Mozilla\Firefox\Profiles\0dqos5mo.default\
FF - prefs.js: browser.startup.homepage - hxxp:/Domain meiner Uni
FF - Ext: Coral IE Tab: ietab@ip.cn - c:\programme\Mozilla Firefox\extensions\ietab@ip.cn
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
 
HKCU-Run-Polar Sync - (no file)
HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe
HKLM_ActiveSetup-IZArc - reg delete HKCU\Software\IZSoftware\IZArc
 
 
 
**************************************************************************
 
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-27 19:23
Windows 5.1.2600 Service Pack 3 NTFS
 
Scanne versteckte Prozesse...
 
Scanne versteckte Autostarteinträge...
 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Polar Sync = ?:\program files\polar\polar sync\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
 
Scanne versteckte Dateien...
 
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
 
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
 
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
 
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
 
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
 
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
 
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
 
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
 
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 
- - - - - - - > 'winlogon.exe'(1108)
c:\windows\system32\es.dll
.
Zeit der Fertigstellung: 2010-12-27 19:24:31
ComboFix-quarantined-files.txt 2010-12-27 18:24
 
Vor Suchlauf: 11 Verzeichnis(se), 97.501.769.728 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 99.784.888.320 Bytes frei
 
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows" /noexecute=optin /fastdetect
 
- - End Of File - - D2D02AF483EB0A6C538B130020907011
--- --- ---

markusg 27.12.2010 19:41
nutze combofix nicht auf eigene faust.
ich sehe du hast malwarebytes benutzt, kannst du scan log(s) posten?

3force 27.12.2010 19:44
oh sorry, war ein wenig verzweifelt. malewarebytes hat nichts gefunden (bei anmeldung als adminestrator) deshalb bin ich ein wenig kopflos so vorgeganen :balla: sorry!

jetzt läuft aber alles; ich lasse malewarebytes jetzt laufen (unter meinen normalen nutzeraccount) und poste die logs dann. in der zwischenzeit kaufe ich eine platte zum sichern.

3force 27.12.2010 19:49
schaffe es doch nicht mehr zum saturn :headbang: werde das logfile posten sobald ich es habe.

markusg 27.12.2010 19:52
ne sicherung ist immer gut

3force 27.12.2010 19:53
stimmt, aber die letzte sicherung ist noch nicht ganz so lange her also nicht ganz so schlimm. bin da eigentlich gewissenhaft. habe die arbeit von heute jetzt auf cd gebrannt.

3force 27.12.2010 20:26
hier der log, jetzt hat maleware doch was gefunden, habs gelöscht. was jetzt? noch mal laufen lassen?:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5403

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.12.2010 20:23:53
mbam-log-2010-12-27 (20-23-53).txt

Scan type: Full scan (C:\|)
Objects scanned: 221967
Time elapsed: 38 minute(s), 15 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\526840750 (Trojan.SCTool.Gen) -> Value: 526840750 -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

markusg 27.12.2010 20:29
also gibts jetzt keine fake meldungen mehr?

3force 27.12.2010 20:30
nee gar nichts mehr, läuft auch stabil würd ich sagen

markusg 27.12.2010 20:33
ok dann combofix löschen und wir sind durch :-)

3force 27.12.2010 20:35
die entdeckung von maleware war aber nachdem ich combofix habe laufen lassen. hat combofix das übersehen oder habe ich noch was übrig? was meinst du.

markusg 27.12.2010 20:37
das war nur ein registrierungs schlüssel, also nur ein überbleibsel.

3force 28.12.2010 09:45
hallo markus,

leider war es das offenbar noch nicht, lasse gerade noch mal einen systemscan von mcaffe laufen und dieser hat drei weitere Trojaner entdeckt.

a$1.class Erkannt als Exploit-ByteVerify
b.class Erkannt als Exploit-ByteVerify
KAVS.class Erkannt als Exploit-ByteVerify

vg
m

markusg 28.12.2010 12:38
hast du den ccleaner, das sind trojaner im java chache, exploits warscheinlich.
ist java und der rest deines systems immer geupdatet?

3force 28.12.2010 15:31
ccleaner hab ich nicht. soll ich den runterladen? system wird eigentlich ganz regelmäßig geupdated.

markusg 28.12.2010 16:04
ja mit ccleaner bereinigen.
ok aber auc java, adobe etc, nicht nur windows updates sind wichtig, alles auf dem system muss aktuell sein.
soll ich da lieber mal nen blick werfen?

3force 28.12.2010 18:58
hallo markus,

das wäre natürlich super, wenn du das machen würdest. das mit dem ccleaner mache ich dann heute abend irgendwann. muss im moment nur einen wichtige aufgabe für meine arbeit erledigen und komme nicht dazu; ist leider zeitkritisch.

aber :dankeschoen: schon mal für deinen tollen support.

markusg 28.12.2010 19:01
ok meld dich wenn du so weit bist

3force 28.12.2010 22:45
so bin jetzt mit dem ccleander durch, was soll ich jetzt machen?

3force 29.12.2010 11:06
offenbar habe ich immernoch ein problem. der morgentliche scan mit malwarebytes ergibt folgendes ergebnis:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5409

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.12.2010 10:59:14
mbam-log-2010-12-29 (10-59-14).txt

Scan type: Full scan (C:\|)
Objects scanned: 221956
Time elapsed: 49 minute(s), 46 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
c:\dokumente und einstellungen\***\startmenü\programme\HDD Low (Rogue.HDDLow) -> Quarantined and deleted successfully.

Files Infected:
c:\dokumente und einstellungen\***\startmenü\programme\HDD Low\HDD Low.lnk (Rogue.HDDLow) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\startmenü\programme\HDD Low\uninstall hdd low.lnk (Rogue.HDDLow) -> Quarantined and deleted successfully.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131