Kann jemand die Datei mal prüfen bzw. ist das Malware?, Proxy Einstellung geändert - Kann ich den einfach löschen |
Willkommen, Gast ( Anmelden | Registrierung )
Kann jemand die Datei mal prüfen bzw. ist das Malware?, Proxy Einstellung geändert - Kann ich den einfach löschen |
13.09.2010, 19:35
Beitrag
#1
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 225 Mitglied seit: 18.12.2004 Mitglieds-Nr.: 1.672 |
Hallo,
mein Bruder rief mich gerade (XP Pro.) an - Firefox läuft nicht, Verbindung am Proxy zurück gewiesen. Rechner hängt am Router (Password gesichert), mein Bruder surft als eingeschränkter User. Ich habe dann festgestellt das beim Start direkt die Sicherheitswarnung erschien: Die Datei habe ich hier mal hochgeladen und einfach ein tmp davor gesetzt. http://www.speedshare.org/download.php?id=A2AD523111 Bei Jotti & Co. habe ich die Datei hochgeladen, allerdings wird nichts angezeigt. Dazu kommt das ich in der Historie des Antivirenscanners erst kürzlich ein Exploit gefunden habe, und ich denke das hängt damit zusammen, denn am Samstag war ich noch kurz an dem Rechner und es war alles in Ordnung. Ich habe das unten stehende Protokoll gezogen und mir fiel sofort der ProxyServer Eintrag auf "http=127.0.0.1:6092". Den habe ich im IXEPL und Firefox gelöscht, die Browser funktionieren wieder. Die o.g. Datei habe ich noch nicht gelöscht. C:\Dokumente und Einstellungen\Ludwig\LokaleEinstellungen\Anwendungsdaten\lvdviguoa\fktclxruqiw.exe Meint Ihr ich soll die Datei direkt löschen? Ich habe mich damit zurück gehalten weil kein Antivirenprogramm angeschlagen hat. Könntet Ihr das als Profis mal prüfen? Wenn die Datei schadhaft ist, reicht dann das Löschen wieder aus, da der Proxy Eintrag gelöscht wurde oder ist da noch was zu befürchten - bzw soll ich noch was laufen lassen? Das Antivirenprogramm von Microsoft läuft gerade noch im Intensiv Modus, schlägt beim manuellen Scannen aber nicht an. Die Datei "1.cmd" im Protokoll ist von mir und soweit in Ordnung. Würde mich über Eure Hilfe freuen. Besten Dank vorab und vielen Dank JD Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:33:14, on 13.09.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Security Essentials\msseces.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\POP Peeper\POPPeeper.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6092 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [MSSE] "C:\Programme\Microsoft Security Essentials\msseces.exe" -hide -runkey O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [POP Peeper] "C:\Programme\POP Peeper\POPPeeper.exe" -min O4 - HKCU\..\Run: [qglientm] C:\Dokumente und Einstellungen\Ludwig\Lokale Einstellungen\Anwendungsdaten\lvdviguoa\fktclxruqiw.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: 1.cmd O4 - Global Startup: hpoddt01.exe.lnk = ? O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/sit...b?1266071131468 O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe -- End of file |
|
|
14.09.2010, 18:40
Beitrag
#2
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 225 Mitglied seit: 18.12.2004 Mitglieds-Nr.: 1.672 |
All processes killed
========== OTL ========== Service HidServ stopped successfully! Service HidServ deleted successfully! File C:\WINDOWS\System32\hidserv.dll File not found not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Cmaudio deleted successfully. Registry key HKEY_USERS\S-1-5-21-1085031214-2111687655-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run not found. File C:\Dokumente und Einstellungen\Ludwig\Lokale Einstellungen\Anwendungsdaten\lvdviguoa\fktclxruqiw.exe not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully. ========== FILES ========== ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYFLASH] User: All Users User: Default User User: LocalService User: Ludwig User: NetworkService User: xAdmin Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Ludwig ->Temp folder emptied: 764115821 bytes ->Temporary Internet Files folder emptied: 65987 bytes ->FireFox cache emptied: 37854707 bytes User: NetworkService ->Temp folder emptied: 1246614 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: xAdmin ->Temp folder emptied: 3897959 bytes ->Temporary Internet Files folder emptied: 164242 bytes ->FireFox cache emptied: 7689438 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2155701 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 86456054 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 862,00 mb OTL by OldTimer - Version 3.2.12.0 log created on 09142010_193647 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 27.05.2024, 17:00 |