Vollständige Version anzeigen : Immernoch infiziert - könnt ihr meinen Log prüfen?


erichbitch
20.02.2012, 22:14

Hallo an alle.
Ich hatte einen ziemlich fiesen Virus a la "PC Kaputt, aber hier ist dieses tolle Recovery Tool, es kostet nur 49,99$.

Naja bin den zumn größten Teil los geworden, aber einige Sachen im Firefox fallen mir noch auf:

Es gab weiterleitungen von Google aus, dann habe ich z;B. auf avira~de geklickt, wurde aber auf ;ybabes~org oder so weitergeleitet.

Außerdem fragt Firefox bei jedem Start, ob es als Standartbrowser festgelegt werden soll.

Könnt ihr über meinen Log nochmal drüber gucken ob ich was vergessen habe?



Logfile of Trend Micro HijackThis v2;0;2
Scan saved at 22:13:39, on 20;02;2012
Platform: Unknown Windows (WinNT 6;01;3504)
MSIE: Internet Explorer v8;00 (8;00;7600;16385)
Boot mode: Normal

Running processes:
C:\Program Files\TrueCrypt\TrueCrypt;exe
C:\Program Files (x86)\RocketDock\RocketDock;exe
C:\Users\Alessandro\AppData\Roaming\Dropbox\bin\Dropbox;exe
C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon;exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon;exe
C:\Program Files (x86)\VMware\VMware Workstation\vmware-tray;exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt;exe
D:\Programme\SkypePortable\App\Skype\Phone\Skype;exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis;exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ;go;microsoft~com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ;;;google~com/calendar/render?hl=de&gsessionid=OK
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ;go;microsoft~com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ;go;microsoft~com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ;go;microsoft~com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ;go;microsoft~com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank;htm
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim;dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv;dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin;dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore;dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv;dll
O4 - HKLM\.;\Run: [VirtualCloneDrive] "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon;exe" /s
O4 - HKLM\.;\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon;exe
O4 - HKLM\.;\Run: [vmware-tray] "C:\Program Files (x86)\VMware\VMware Workstation\vmware-tray;exe"
O4 - HKLM\.;\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt;exe" /min
O4 - HKLM\.;\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched;exe"
O4 - HKCU\.;\Run: [TrueCrypt] "C:\Program Files\TrueCrypt\TrueCrypt;exe" /q preferences /a logon
O4 - HKCU\.;\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar;exe /autoRun
O4 - HKCU\.;\Run: [RocketDock] "C:\Program Files (x86)\RocketDock\RocketDock;exe"
O4 - HKCU\.;\Run: [KiesHelper] C:\Program Files (x86)\Samsung\Kies\KiesHelper;exe /s
O4 - HKUS\S-1-5-19\.;\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar;exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\.;\RunOnce: [mctadmin] C:\Windows\System32\mctadmin;exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\.;\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar;exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\.;\RunOnce: [mctadmin] C:\Windows\System32\mctadmin;exe (User 'NETZWERKDIENST')
O4 - Startup: Dropbox;lnk = C:\Users\Alessandro\AppData\Roaming\Dropbox\bin\Dropbox;exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL;EXE/3000
O9 - Extra button: ;C:\Program Files (x86)\Windows Live\Companion\companionlang;dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files (x86)\Windows Live\Companion\companioncore;dll
O9 - Extra button: ICQ7;7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Program Files (x86)\ICQ7;7\ICQ;exe
O9 - Extra 'Tools' menuitem: ICQ7;7 - {77F665FD-3F60-4B0A-AE14-EC124B7A7FCE} - C:\Program Files (x86)\ICQ7;7\ICQ;exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR;DLL
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp;dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp;dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\vsocklib;dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\vsocklib;dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\Skype4COM;dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler;dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc;exe
O23 - Service: ;%SystemRoot%\system32\Alg;exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg;exe (file missing)
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched;exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard;exe
O23 - Service: ;%SystemRoot%\system32\efssvc;dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass;exe (file missing)
O23 - Service: ;%systemroot%\system32\fxsresm;dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc;exe (file missing)
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc;exe
O23 - Service: ;keyiso;dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass;exe (file missing)
O23 - Service: ;comres;dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc;exe (file missing)
O23 - Service: ;%SystemRoot%\System32\netlogon;dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass;exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc;exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA;exe
O23 - Service: ;%systemroot%\system32\psbase;dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass;exe (file missing)
O23 - Service: ;%systemroot%\system32\Locator;exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\samsrv;dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass;exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - D:\Programme\SkypePortable\App\Skype\Updater\Updater;exe
O23 - Service: ;%SystemRoot%\system32\snmptrap;exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap;exe (file missing)
O23 - Service: ;%systemroot%\system32\spoolsv;exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\sppsvc;exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc;exe (file missing)
O23 - Service: UGS-Lizenzserver (ugslmd) (UGS License Server (ugslmd)) - Macrovision Corporation - D:\Programme\UGSLicensing\lmgrd;exe
O23 - Service: ;%SystemRoot%\system32\ui0detect;exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\vaultsvc;dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\vds;exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds;exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files (x86)\VMware\VMware Workstation\vmware-authd;exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp;exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator64;exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat;exe
O23 - Service: VMware Workstation Server (VMwareHostd) - Unknown owner - C:\Program Files (x86)\VMware\VMware Workstation\vmware-hostd;exe
O23 - Service: Cisco AnyConnect Secure Mobility Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent;exe
O23 - Service: ;%systemroot%\system32\vssvc;exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc;exe (file missing)
O23 - Service: ;%systemroot%\system32\wbengine;exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine;exe (file missing)
O23 - Service: ;%Systemroot%\system32\wbem\wmiapsrv;exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv;exe (file missing)
O23 - Service: ;%PROGRAMFILES%\Windows Media Player\wmpnetwk;exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk;exe (file missing)

--
End of file - 9473 bytes




Vielen Dank !
Erichbitch

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
1bast4
20.02.2012, 22:24

der einzig sinnvolle weg das ding dauerhaft zu entfernen ist der über ein backup sicherer/sauberer files und einer neuinstallation des betriebsystems.


erichbitch
20.02.2012, 22:26

der einzig sinnvolle weg das ding dauerhaft zu entfernen ist der über ein backup sicherer/sauberer files und einer neuinstallation des betriebsystems;

Das weiß ich, habe jedoch noch 1 Monat lang eine sehr harte Klausurphase, dazu fehlt mir im moment der Nerv ;)

In 1 Monat soll formatiert werden, bis dahin wäre es aber schön wenn das System stabil und virenfrei weiter läuft ;)


Korma
21.02.2012, 01:12

also mit

spybot S&D
avira anti virus (free edition, ja ich weiss ist nicht grad das beste)
und hijackthis inc. auf der logfile auswerten page mal die logfile auswerten lassen

hab ich eigentlich immer alles gelöscht bekommen etc.

probiers mal mit den sachen (anti viren tool kann auch ein anderes sein).
anonsten formatieren.
formatieren mit den wichtigsten sachen installen und so dauert ja auch "nur" im schnitt 1 1/2stunden.


freakZ
21.02.2012, 01:13

dann boote mit einer live cd :) (linux) und arbeite unter linux :)


alexgold
21.02.2012, 15:03

log is sauber lass im abgesicherten modus mal security essential drüberlaufen


Ähnliche Themen zu Immernoch infiziert - könnt ihr meinen Log prüfen?
  • Netzwerk infiziert
    Hallo zusammen, Ich hab mein Zivi bei der Örtlichen DRK stelle geleistet, hab da in unserem Aufenthaltsraum einen alten Laptop ans netzwerk angeschlossen für Youtube usw etwa 2 Monate lang (liegt inzwischen 6-7 Monate zurück) Jetzt hab ich von meinem "Ablösezivi" ne sms bekommen, das das DRK w [...]

  • SFT Seiten infiziert?
    Mein Virenprogram blockiert seit einigen Tagen den SFT wenn ich einen Film laden will!? Habt ihr das Problem auch??( [...]

  • Infiziert ?
    Moin Ich hab mir mal wieder Antivir installiert und meine C: Festplatte durchgescannt - Jetzt hat Antivir 2 Trojaner gefunden, bei denen ich mir nichtmal sicher bin ob es trojaner sind mscmsr;dll (;;;virustotal~com/de/analisis/44cd2b0dbf30bb1c0168b833db2bd3a0) download der datei (;;;materialordner [...]

  • Könnt ihr meinen englischen Text nach Fehler überprüfen ?:)
    Hallö, ich sollte eine Summary zu einem Zeitungsartikel schreiben und da ich ne niete in eng bin, wollte ich euch mich an euch wenden^^. Könnt ihr bitte nach Rechschreib-oder Grammatikfehler Ausschau halten?:) Bw ist sicher! This article written by Bernard O´Riordan is about the wors [...]



raid-rush.ws | Imprint & Contact pr