Log Auswertung

[Swarm]

Code:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_USERS\S-1-5-21-3807840956-2952926455-3758106332-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-3807840956-2952926455-3758106332-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3807840956-2952926455-3758106332-1004\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-21-3807840956-2952926455-3758106332-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-3807840956-2952926455-3758106332-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Philipp
->Temp folder emptied: 1476 bytes
->Temporary Internet Files folder emptied: 50783016 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 351522835 bytes
->Flash cache emptied: 58828 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 12288 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 50131 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 384,00 mb
 
 
OTL by OldTimer - Version 3.2.61.3 log created on 09172012_164005

Files\Folders moved on Reboot...
C:\Users\Philipp\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[Petra]

Hallo Swarm,

===== Punkt 1 =====

Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan (Auswahl Vollständiger Suchlauf unter Suchlauf wählen) nach dieser Anleitung und poste das vollständige Logfile hier in den Thread.

(Vista/Win7-User: mit Rechtsklick als Administrator starten)

[Swarm]

Code:

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.17.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Philipp :: PHILIPP-PC [Administrator]

17.09.2012 21:47:57
mbam-log-2012-09-18 (12-35-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (B:\|C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 466169
Laufzeit: 2 Stunde(n), 30 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
D:\Sonstiges\RemoveWGA12.exe (PUP.RemoveWGA) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{B5A7AF20-AB05-4A5E-B492-6E733DDA437F}\RP75\A0017157.exe (Malware.Packer.Gen) -> Keine Aktion durchgeführt.

(Ende)

[Petra]

Hallo Swarm,

===== Punkt 1 =====

im Malwarebytes Logfile steht "Keine Aktion durchgeführt". Hast Du die Funde am Ende markiert und löschen lassen? Falls nein, wiederhole den Scan und lasse die Funde am Ende löschen.



===== Punkt 2 =====

Die Logfiles lassen darauf schließen, dass Du recht sorglos Cracks und Keygens benutzt (RemoveWGA wird benutzt, um die Prüfung von Microsoft auf Original-Software zu umgehen). Daher hierzu mal eine klare Ansage, die Dir hoffentlich verdeutlicht, dass das neben der Tatsache, dass das nicht legal ist auch ziemlich gefährlich ist: die Nutzung von Cracks und Keygens führt fast zwangsläufig zur Infektion von Computern, da in fast allen Fällen neben der Installation des Programms eine Hintertüre gleich mitinstalliert wird. Über diese Backdoor kann der Angreifer die volle Kontrolle über Dein System übernehmen, d. h. Passwort-Daten abgreifen, Tastatur-Eingaben mitloggen, Systemdateien manipulieren.

Diese Infektionsarten setzen über die Hintertüren (Backdoors) bei Bedarf Anti-Virus-Programme außer Kraft und erlauben dem Angreifer jederzeit erneut, die volle Kontrolle über Dein System zu übernehmen. Es ist ausgesprochen schwierig, solche Hintertüren aufzuspüren und zu löschen, da sie sich häufig hinter legitimen Programmen oder über sog. Rootkits verstecken.

Meine Empfehlung lautet daher: Deinstalliere über Systemsteuerung => Programme/Software alle Programme, die auf diese Weise genutzt werden.
Ändere alle Deine Passwort-Daten schnellstmöglich von einem weiteren, virenfreien System!

Wenn Du dazu bereit bist, können wir anschließend mit einer Bereinigung fortfahren. In dem Fall erstelle nach der Deinstallation der relevanten Programme frische Logfiles mit OTL.

[Swarm]

Punkt 1

habe die markiert und löschen lassen....dann wurde ein neustart verlangt.

Punkt 2

naja...dieses wga habe ich nicht genutzt...das war nur in dem ordner den ich auf den laptop gezogen habe...demnach habe ich es jetzt gelöscht.
aber ich schätze....auch wenn du dir jetzt hier die mühe gemacht hast...dass es am sinnvollsten und am einfachsten wäre, wenn ich das system einfach einmal komplett platt mache...sowie alle anderen partitionen.
dachte nicht, dass es so schwerwiegend ist und man es eben schnell bereinigen kann.
aber so ist das ja mehr aufwand als alles andere. also besser einmal augen zu und durch und beim nächsten mal ein wenig besser drauf achten was ich da benutze und installiere!

danke dir trotzdem!
und großes lob an die seite hier...kompetente leute!

[Petra]

Hallo Swarm,

wenn Du den Crack nie benutzt hast, reicht das Löschen desselben. Wir haben den PC jetzt soweit es mir möglich war bereinigt. Ich sehe keine Reste von Infektionen mehr, aber Garantien, dass alles weg ist, kann ich natürlich nie geben. Wie auch immer Du Dich entscheidest, mein Job ist getan und mir bleibt nur noch, Dir weiterhin viel Spaß mit dem PC zu wünschen und Dir noch einige Tipps zur Absicherung mit auf den Weg zu geben


Absicherung des Rechners

In jedem Fall ist es nach einer Infektion ratsam alle Passwörter zu ändern.

Dann mache zur Sicherheit noch einen Komplettscan mit aktualisierten Virendefinitionen mit Deinem Antivirus-Programm. Falls noch Funde gemacht werden, sage mir Bescheid, welche und wo. Ansonsten können wir hier mit einigen Tipps zur Absicherung schließen und ich mache den Thread in ein paar Tagen zu

Lesenswerte Blogeinträge zum Thema Absicherung

Malware entfernt? Was nun?
Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Vorsicht bei Streaming-Diensten: Malware-Zwischenfälle auf movie2k.to und kinox.to!
Wie kann ich prüfen, ob meine Software aktuell ist?
Datensicherung
Browser- und Plugincheck
DNS manipuliert?