Windows XP / PUP.dealio (Bosco)

Bosco
Gast

« am: 11.03.11, 19:56:25 »

Hallo,
Malwarebytes hat heute 3 infizierte Dateien gefunden:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 6019

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.03.2011 18:07:03
mbam-log-2011-03-11 (18-07-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|J:\|)
Durchsuchte Objekte: 323149
Laufzeit: 1 Stunde(n), 1 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{e312764e-7706-43f1-8dab-fcdd2b1e416d} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e312764e-7706-43f1-8dab-fcdd2b1e416d} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Application Updater\ApplicationUpdater.exe (PUP.Dealio) -> Quarantined and deleted successfully.

Danach habe ich ein Logfile erstellt:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:52:55, on 11.03.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\csrss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\Ati2evxx.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\Ati2evxx.exe
J:\WINDOWS\SuRun.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\WINDOWS\System32\SCardSvr.exe
J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
J:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
J:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
J:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
J:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
J:\Programme\F-Secure Internet Security\Common\FSHDLL32.EXE
J:\Programme\Java\jre6\bin\jqs.exe
J:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Eigene Dateien\Eigene Dokumente\Handy\SupServ.exe
J:\Programme\OO Software\Defrag\oodag.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
J:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
J:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
J:\WINDOWS\System32\alg.exe
J:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
J:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\Dit.exe
J:\Programme\OO Software\Defrag\oodtray.exe
D:\Programme\Geburtstagsmanager\burz.exe
J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
J:\Programme\F-Secure Internet Security\Common\FSM32.EXE
J:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
J:\Programme\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe
J:\WINDOWS\SuRun.exe
J:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\HDD Health\hddhealth.exe
J:\WINDOWS\system32\wbem\wmiprvse.exe
J:\Programme\Mozilla Firefox\firefox.exe
J:\Programme\Mozilla Firefox\plugin-container.exe
C:\Eigene Dateien\Downloads\HiJackThis204(2).exe
J:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kabelbw.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - J:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: LitmusBHO - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - J:\Programme\F-Secure Internet Security\NRS\iescript\baselitmus.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - J:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - J:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - J:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - J:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - J:\Programme\F-Secure Internet Security\NRS\iescript\baselitmus.dll
O4 - HKLM\..\Run: [NeroFilterCheck] J:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [OODefragTray] J:\Programme\OO Software\Defrag\oodtray.exe
O4 - HKLM\..\Run: [GeburtstagsManager] D:\Programme\Geburtstagsmanager\burz.exe /silent
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "J:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "J:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Adobe ARM] "J:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] "J:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [SAOB Monitor] J:\Programme\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe
O4 - HKLM\..\Run: [SuRun Systemmenü-Erweiterung] J:\WINDOWS\SuRun.exe /SYSMENUHOOK
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HDDHealth] J:\Programme\HDD Health\hddhealth.exe -wl
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Denk Dran!.lnk = J:\Programme\DATA BECKER\Denk Dran!\BdR.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://L:\content\include\XPPatchInstaller.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - J:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - J:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - J:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - D:\Programme\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: Acronis Nonstop Backup-Dienst (afcdpsrv) - Acronis - J:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
O23 - Service: Apple Mobile Device - Apple Inc. - J:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - J:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - J:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DATA BECKER Update Service (DBService) - DATA BECKER GmbH & Co KG - J:\Programme\Gemeinsame Dateien\DATA BECKER Shared\DBService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - Unknown owner - J:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Programme\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - J:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - J:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - J:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: Google Update Service (gupdate1c9857e706f0ace) (gupdate1c9857e706f0ace) - Google Inc. - J:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - J:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Eigene Dateien\Eigene Dokumente\Handy\SupServ.exe
O23 - Service: O&O Defrag (OODefragAgent) - O&O Software GmbH - J:\Programme\OO Software\Defrag\oodag.exe
O23 - Service: Super User Run (SuRun) Service - http://kay-bruns.de - J:\WINDOWS\SuRun.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - J:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
O23 - Service: UPnPService - Magix AG - J:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 9560 bytes

Was ist eigentlich PUP.dealio? Ich habe gegoogelt, werde aber nicht so recht schlau draus.
Was muss ich noch tun, um mein System wieder sauber zu bekommen? Ich hoffe nicht, dass ich alles neu aufsetzen muss!

Gruß
Bosco

Windows XP / PUP.dealio

Antworten zu Windows XP / PUP.dealio:

Re: Windows XP / PUP.dealio

Mehr zu Windows XP / PUP.dealio