Kann jemand die Datei mal prüfen bzw. ist das Malware?, Proxy Einstellung geändert - Kann ich den einfach löschen |
Willkommen, Gast ( Anmelden | Registrierung )
Kann jemand die Datei mal prüfen bzw. ist das Malware?, Proxy Einstellung geändert - Kann ich den einfach löschen |
13.09.2010, 19:35
Beitrag
#1
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 225 Mitglied seit: 18.12.2004 Mitglieds-Nr.: 1.672 |
Hallo,
mein Bruder rief mich gerade (XP Pro.) an - Firefox läuft nicht, Verbindung am Proxy zurück gewiesen. Rechner hängt am Router (Password gesichert), mein Bruder surft als eingeschränkter User. Ich habe dann festgestellt das beim Start direkt die Sicherheitswarnung erschien: Die Datei habe ich hier mal hochgeladen und einfach ein tmp davor gesetzt. http://www.speedshare.org/download.php?id=A2AD523111 Bei Jotti & Co. habe ich die Datei hochgeladen, allerdings wird nichts angezeigt. Dazu kommt das ich in der Historie des Antivirenscanners erst kürzlich ein Exploit gefunden habe, und ich denke das hängt damit zusammen, denn am Samstag war ich noch kurz an dem Rechner und es war alles in Ordnung. Ich habe das unten stehende Protokoll gezogen und mir fiel sofort der ProxyServer Eintrag auf "http=127.0.0.1:6092". Den habe ich im IXEPL und Firefox gelöscht, die Browser funktionieren wieder. Die o.g. Datei habe ich noch nicht gelöscht. C:\Dokumente und Einstellungen\Ludwig\LokaleEinstellungen\Anwendungsdaten\lvdviguoa\fktclxruqiw.exe Meint Ihr ich soll die Datei direkt löschen? Ich habe mich damit zurück gehalten weil kein Antivirenprogramm angeschlagen hat. Könntet Ihr das als Profis mal prüfen? Wenn die Datei schadhaft ist, reicht dann das Löschen wieder aus, da der Proxy Eintrag gelöscht wurde oder ist da noch was zu befürchten - bzw soll ich noch was laufen lassen? Das Antivirenprogramm von Microsoft läuft gerade noch im Intensiv Modus, schlägt beim manuellen Scannen aber nicht an. Die Datei "1.cmd" im Protokoll ist von mir und soweit in Ordnung. Würde mich über Eure Hilfe freuen. Besten Dank vorab und vielen Dank JD Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:33:14, on 13.09.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Security Essentials\msseces.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\POP Peeper\POPPeeper.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6092 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [MSSE] "C:\Programme\Microsoft Security Essentials\msseces.exe" -hide -runkey O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [POP Peeper] "C:\Programme\POP Peeper\POPPeeper.exe" -min O4 - HKCU\..\Run: [qglientm] C:\Dokumente und Einstellungen\Ludwig\Lokale Einstellungen\Anwendungsdaten\lvdviguoa\fktclxruqiw.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: 1.cmd O4 - Global Startup: hpoddt01.exe.lnk = ? O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/sit...b?1266071131468 O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe -- End of file |
|
|
14.09.2010, 19:25
Beitrag
#2
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
download atf cleaner:
http://www.atribune.org/index.php?option=c...5&Itemid=25 ausführen, alles anhaken, auch auf dem tap firefox, wähle emty selected. rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, wähle auf allen laufwerken deaktivieren, übernehmen/ok. 5 min warten, wieder einschalten. berichte ob es noch probleme gibt. |
|
|
14.09.2010, 20:10
Beitrag
#3
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 225 Mitglied seit: 18.12.2004 Mitglieds-Nr.: 1.672 |
download atf cleaner: http://www.atribune.org/index.php?option=c...5&Itemid=25 ausführen, alles anhaken, auch auf dem tap firefox, wähle emty selected. rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, wähle auf allen laufwerken deaktivieren, übernehmen/ok. 5 min warten, wieder einschalten. berichte ob es noch probleme gibt. Hallo, und erst einmal vielen Dank für die kompetente Hilfe. Atf Cleaner setze ich morgen ein und werde dann berichten. Schon komisch das jetzt die Virenscanner anschlagen, als ich gestern VirScan.org, VirustTotal, Jottis und Kaspersky Lab online getestet habe inkl. Microsoft war noch Stille im Wald. Was war das denn von ein Art von Bedrohung, finde im Netz unterschiedliche Aussagen dazu und was noch viel wichtiger ist, wie kann sich denn mein Bruder diesen Infekt am PC zugezogen haben? Ich würde ihm gerne sagen was er zukünftig vermeiden soll, aber kann der typische User der mit eingeschränkten Rechten surft, aktuellen Firefox inkl. Flash-Player, mit allen Patches inkl. aktuellem Virenscanner und Hardwarefirewall inkl. Windowsfirewall noch mehr für die Sicherheit beitragen - außer das man natürliches alles installiert und anklickt und den Verstand einschaltet? Ich frage daher, weil mich wirklich interessiert wie der Infekt auf den PC gekommen ist - falls man das überhaupt kann. Vielen herzlichen Dank JD Der Beitrag wurde von jd_cort bearbeitet: 14.09.2010, 20:10 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 18.06.2024, 11:28 |