| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.08.2011, 09:52
| #1 |
 |  Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Moin, lange Zeit wurde ich, wenn ich bestimmte Seiten aufgerufen habe auf andere Seiten z.B. von Bigpoint weitergeleitet. Auch bei der Suchmaschine Google wurde ich beim anklicken der Suchergebnisse oftmals auf diverse andere Werbeseiten verlinkt. Da mein Avira oder die Vista Firewall nie etwas bemängelten, habe ich es in meiner Naivität einfach so hingenommen. Anfang dieser Woche hatte ich jedoch genug davon und betrieb Ursachenforschung… Ich las mich durch diverse Foren und fand Beiträge, die meinem Problem sehr ähnelten. Daraufhin installierte ich mir Spybot und Malwarebytes und jagte diese über mein System. Es hat sich herausgestellt, dass ich 3 schädliche Programme auf meinem Lap-Top hatte: 1. Win32.Katusha.o ( Trojaner ) 2. Babylon.Toolbar ( Adware C ) 3. Fraud.WindowsLive.BHO ( Malware C ) Bei der Beseitigung dieser Schädlinge traten keine Probleme auf und die oben beschriebenen Beschwerden habe ich auch nicht mehr. Weder Avira, Spybot noch Malwarebytes zeigen irgendwelche infizierten Objekte an. Seit dieser Reinigung bzw. der Installation der neuen “Virenjäger” sind mir jedoch zwei Dinge aufgefallen: 1. Nach der Anmeldung als Administrator erscheint ein kleines schwarzes Fenster, welches jedoch nur einen Augenblick lang dort verweilt, das einzige was ich dort lesen konnte war etwas wie “ System Win 32” oder so ähnlich… 2. Vista sagt mir das mein Avira Antivir Personal ausgeschaltet sei, was aber nicht stimmt. ( Avira sagt es sei aktiv und unter Task-Manager ( Prozesse) kann man es auch aktiv sehen). Aber irgendwie beschleicht mich das Gefühl, dass es zu einfach war und ich mache mir große Sorgen das mein System noch immer infiziert ist bzw. nun anfälliger für Trojaner, Viren, Keylogger, Spyware usw. Ich nutze meinen Lap-Top überwiegend zum Online spielen, daher vor allem die Angst das meine Accounts gehackt werden, aber auch für die Bezahlung eben dieser, also Online Banking. Sollte ich dies nun lieber sein lassen und mein System vorsichtshalber neu aufsetzen ? Oder sind meine Befürchtungen unbegründet? Ich würde mich sehr über einen professionellen Rat freuen, damit ich wieder ruhig schlafen kann. Danke. P.S. Ich habe versucht mich an die Forenanleitung zu halten und die angegebenen Scans durchgeführt. Da jedes Detail eventuell wichtig sein könnte sind mir 2 Dinge bei den Scans aufgefallen: 1. Defogger hat mich nicht zu einem Neustart aufgefordert. 2. Gmer hat beim ersten Scanversuch laut Vista: “ Nicht mehr funktioniert”..der 2. Verlief ohne Komplikationen. OTL-Extra + Gmer- Log befinden sich im Anhang. Hier das OTL-log:OTL Logfile: Code:
ATTFilter OTL logfile created on: 12.08.2011 09:02:00 - Run 1 OTL by OldTimer - Version 3.2.26.1 Folder = C:\Users\Mustermann\Desktop Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,99 Gb Total Physical Memory | 1,94 Gb Available Physical Memory | 64,76% Memory free 6,18 Gb Paging File | 5,16 Gb Available in Paging File | 83,47% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 268,79 Gb Total Space | 134,22 Gb Free Space | 49,93% Space Free | Partition Type: NTFS Drive D: | 29,28 Gb Total Space | 14,28 Gb Free Space | 48,78% Space Free | Partition Type: FAT32 Computer Name: MustermannPC | User Name: Mustermann | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.08.12 08:54:20 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Mustermann\Desktop\OTL.exe PRC - [2011.06.30 13:07:42 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.05.01 04:39:47 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.03.21 12:07:42 | 000,196,928 | ---- | M] (Nitro PDF Software) -- C:\Programme\Nitro PDF\Professional\NitroPDFDriverService.exe PRC - [2010.11.16 20:01:34 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.08.18 11:29:22 | 001,529,728 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE PRC - [2009.08.18 11:29:22 | 000,183,152 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE PRC - [2009.04.10 23:28:04 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe PRC - [2009.04.10 23:27:38 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2009.04.10 23:27:30 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe PRC - [2009.03.05 18:54:50 | 000,311,296 | ---- | M] () -- C:\Windows\System32\Rezip.exe PRC - [2009.02.11 17:38:40 | 000,354,840 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe PRC - [2009.01.26 15:31:16 | 002,144,088 | RHS- | M] (Safer Networking Limited) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe PRC - [2009.01.26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe PRC - [2008.10.29 16:20:34 | 000,070,656 | ---- | M] () -- C:\Programme\Realtek Semiconductor Corp\Realtek USB 2.0 Card Reader\reset.exe PRC - [2008.01.21 04:25:33 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe PRC - [2008.01.21 04:25:33 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe PRC - [2008.01.21 04:23:32 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe PRC - [2007.07.24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) -- C:\Programme\Common Files\Protexis\License Service\PsiService_2.exe PRC - [2007.06.20 23:04:52 | 000,046,432 | ---- | M] (Microsoft® Corporation) -- C:\Programme\Microsoft Works\WkCalRem.exe PRC - [2007.06.05 13:20:32 | 000,177,704 | ---- | M] () -- C:\Windows\System32\PSIService.exe ========== Modules (SafeList) ========== MOD - [2011.08.12 08:54:20 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Mustermann\Desktop\OTL.exe MOD - [2010.08.31 17:43:52 | 001,686,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18305_none_5cb72f2a088b0ed3\comctl32.dll ========== Win32 Services (SafeList) ========== SRV - [2011.06.30 13:07:42 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.05.01 04:39:47 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2011.03.21 12:07:42 | 000,196,928 | ---- | M] (Nitro PDF Software) [Auto | Running] -- C:\Program Files\Nitro PDF\Professional\NitroPDFDriverService.exe -- (NitroDriverReadSpool) SRV - [2010.11.30 18:03:00 | 004,023,760 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\Windows\System32\GameMon.des -- (npggsvc) SRV - [2009.03.05 18:54:50 | 000,311,296 | ---- | M] () [Auto | Running] -- C:\Windows\System32\Rezip.exe -- (Rezip) SRV - [2009.02.11 17:38:40 | 000,354,840 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R) SRV - [2009.01.26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Running] -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService) SRV - [2008.10.29 16:20:34 | 000,070,656 | ---- | M] () [Auto | Running] -- C:\Program Files\Realtek Semiconductor Corp\Realtek USB 2.0 Card Reader\reset.exe -- (resetWinService) SRV - [2008.01.21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend) SRV - [2007.07.24 11:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto | Running] -- C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2) SRV - [2007.06.05 13:20:32 | 000,177,704 | ---- | M] () [Auto | Running] -- C:\Windows\System32\PSIService.exe -- (ProtexisLicensing) ========== Driver Services (SafeList) ========== DRV - [2011.06.30 13:07:42 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb) DRV - [2011.06.30 13:07:42 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.04.16 05:56:56 | 000,009,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\WinIo.sys -- (WINIO) DRV - [2009.06.17 11:17:28 | 000,041,984 | ---- | M] (Sentelic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\fspad_wlh32.sys -- (fspad_wlh32) DRV - [2009.05.25 08:50:44 | 000,164,864 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169) DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.05.08 22:58:00 | 007,551,200 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm) DRV - [2009.05.08 19:02:48 | 000,498,176 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rtl8192se.sys -- (rtl8192se) DRV - [2009.05.01 10:13:34 | 000,064,032 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA) DRV - [2008.12.29 18:06:54 | 001,799,808 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\snp2uvc.sys -- (SNP2UVC) USB2.0 PC Camera (SNP2UVC) DRV - [2008.12.20 02:08:28 | 000,030,088 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\point32k.sys -- (Point32) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "www.google.de" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: C:\Program Files\Picasa2\npPicasa2.dll (Google, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.08.09 11:56:44 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.06.16 20:07:47 | 000,000,000 | ---D | M] [2011.03.12 20:03:58 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mustermann\AppData\Roaming\mozilla\Extensions [2009.08.28 20:53:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mustermann\AppData\Roaming\mozilla\Extensions\mozswing@mozswing.org [2011.07.23 10:02:39 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Mustermann\AppData\Roaming\mozilla\Firefox\Profiles\zdr8lbga.default\extensions [2011.08.09 11:56:44 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions File not found (No name found) -- [2011.07.04 14:13:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2011.07.08 09:31:38 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O4 - HKCU..\RunOnce: [SpybotDeletingB5256] C:\Windows\System32\COMMAND.COM () O4 - HKCU..\RunOnce: [SpybotDeletingD3258] C:\Windows\System32\cmd.exe (Microsoft Corporation) O4 - HKCU..\RunOnce: [SpybotDeletingD5994] C:\Windows\System32\cmd.exe (Microsoft Corporation) O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - File not found O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O13 - gopher Prefix: missing O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab (DLM Control) O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} hxxp://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/VistaMSNPUplden-us.cab (Windows Live Hotmail Photo Upload Tool) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O32 - AutoRun File - [2008.08.21 11:50:32 | 000,000,672 | RH-- | M] () - D:\autoexec.bat -- [ FAT32 ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.08.12 08:54:19 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Mustermann\Desktop\OTL.exe [2011.08.11 07:49:35 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011.08.10 08:14:48 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2011.08.10 08:14:44 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2011.08.10 08:14:43 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2011.08.09 12:40:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy [2011.08.09 12:40:13 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy [2011.08.09 12:37:43 | 016,409,960 | ---- | C] (Safer Networking Limited ) -- C:\Users\Mustermann\Desktop\spybotsd162.exe [2011.07.30 16:45:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RIFT [2011.07.30 16:44:58 | 000,000,000 | ---D | C] -- C:\Program Files\RIFT Game [2011.07.14 06:02:23 | 000,000,000 | ---D | C] -- C:\Users\Mustermann\AppData\Roaming\RIFT [2009.06.10 15:00:53 | 000,225,280 | ---- | C] ( ) -- C:\Windows\System32\rsnp2uvc.dll [2009.06.10 15:00:52 | 000,176,128 | ---- | C] ( ) -- C:\Windows\System32\csnp2uvc.dll [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.08.12 09:00:19 | 000,017,450 | ---- | M] () -- C:\Users\Mustermann\AppData\Roaming\wklnhst.dat [2011.08.12 08:59:49 | 000,017,408 | ---- | M] () -- C:\Users\Mustermann\Desktop\Unbenanntes Dokument.wps [2011.08.12 08:57:53 | 000,003,283 | ---- | M] () -- C:\Users\Mustermann\Desktop\anleitung.rtf [2011.08.12 08:57:01 | 000,000,000 | ---- | M] () -- C:\Users\Mustermann\defogger_reenable [2011.08.12 08:54:51 | 000,302,592 | ---- | M] () -- C:\Users\Mustermann\Desktop\6zkouwyi.exe [2011.08.12 08:54:20 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Mustermann\Desktop\OTL.exe [2011.08.12 08:54:03 | 000,050,477 | ---- | M] () -- C:\Users\Mustermann\Desktop\Defogger.exe [2011.08.12 08:10:29 | 000,639,210 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2011.08.12 08:10:29 | 000,604,764 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2011.08.12 08:10:29 | 000,131,218 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2011.08.12 08:10:29 | 000,108,096 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2011.08.12 08:04:49 | 000,065,536 | ---- | M] () -- C:\Windows\System32\Ikeext.etl [2011.08.12 08:04:44 | 000,031,871 | ---- | M] () -- C:\ProgramData\nvModes.001 [2011.08.12 08:04:44 | 000,004,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2011.08.12 08:04:44 | 000,004,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2011.08.12 08:04:39 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.08.10 08:14:48 | 000,000,910 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.08.10 08:12:15 | 000,022,016 | ---- | M] () -- C:\Users\Mustermann\Desktop\KKH 10.08.11.wps [2011.08.09 13:51:39 | 000,000,149 | ---- | M] () -- C:\Windows\wininit.ini [2011.08.09 12:38:39 | 016,409,960 | ---- | M] (Safer Networking Limited ) -- C:\Users\Mustermann\Desktop\spybotsd162.exe [2011.08.09 12:33:10 | 000,001,227 | ---- | M] () -- C:\Users\Mustermann\Desktop\Dokument.rtf [2011.08.05 21:06:06 | 000,017,408 | ---- | M] () -- C:\Users\Mustermann\Desktop\Keybinding.wps [2011.07.30 16:45:13 | 000,001,720 | ---- | M] () -- C:\Users\Public\Desktop\RIFT spielen.lnk [2011.07.25 18:35:34 | 000,031,871 | ---- | M] () -- C:\ProgramData\nvModes.dat [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.08.12 08:57:53 | 000,003,283 | ---- | C] () -- C:\Users\Mustermann\Desktop\anleitung.rtf [2011.08.12 08:57:01 | 000,000,000 | ---- | C] () -- C:\Users\Mustermann\defogger_reenable [2011.08.12 08:54:47 | 000,302,592 | ---- | C] () -- C:\Users\Mustermann\Desktop\6zkouwyi.exe [2011.08.12 08:54:02 | 000,050,477 | ---- | C] () -- C:\Users\Mustermann\Desktop\Defogger.exe [2011.08.12 08:50:09 | 000,017,408 | ---- | C] () -- C:\Users\Mustermann\Desktop\Unbenanntes Dokument.wps [2011.08.10 08:14:48 | 000,000,910 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.08.10 07:22:37 | 000,022,016 | ---- | C] () -- C:\Users\Mustermann\Desktop\KKH 10.08.11.wps [2011.08.09 13:32:36 | 000,000,149 | ---- | C] () -- C:\Windows\wininit.ini [2011.08.09 12:33:10 | 000,001,227 | ---- | C] () -- C:\Users\Mustermann\Desktop\Dokument.rtf [2011.08.09 11:56:44 | 000,000,862 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [2011.07.30 16:45:13 | 000,001,720 | ---- | C] () -- C:\Users\Public\Desktop\RIFT spielen.lnk [2011.07.04 13:46:36 | 000,000,093 | ---- | C] () -- C:\Users\Mustermann\AppData\Local\fusioncache.dat [2011.05.01 04:10:57 | 000,000,000 | ---- | C] () -- C:\Windows\Irremote.ini [2011.04.09 18:55:28 | 000,179,261 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat [2011.03.24 22:47:40 | 000,008,192 | ---- | C] () -- C:\Users\Mustermann\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.06.25 13:40:13 | 000,000,952 | -HS- | C] () -- C:\ProgramData\KGyGaAvL.sys [2010.04.17 00:50:43 | 000,002,560 | ---- | C] () -- C:\Windows\_MSRSTRT.EXE [2010.04.16 05:56:56 | 000,009,336 | ---- | C] () -- C:\Windows\System32\WinIo.sys [2010.02.26 10:27:30 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat [2010.02.25 13:45:58 | 000,000,069 | ---- | C] () -- C:\Windows\NeroDigital.ini [2009.10.02 15:22:49 | 000,017,450 | ---- | C] () -- C:\Users\Mustermann\AppData\Roaming\wklnhst.dat [2009.09.16 19:27:58 | 000,508,224 | ---- | C] () -- C:\Windows\System32\ICCProfiles.dll [2009.08.09 04:05:02 | 000,031,871 | ---- | C] () -- C:\ProgramData\nvModes.001 [2009.08.09 03:13:37 | 000,031,871 | ---- | C] () -- C:\ProgramData\nvModes.dat [2009.06.10 15:00:53 | 001,799,808 | ---- | C] () -- C:\Windows\System32\drivers\snp2uvc.sys [2009.06.10 15:00:53 | 000,233,472 | ---- | C] () -- C:\Windows\tsnp2uvc.exe [2009.06.10 15:00:53 | 000,015,497 | ---- | C] () -- C:\Windows\snp2uvc.ini [2009.06.10 15:00:52 | 000,028,544 | ---- | C] () -- C:\Windows\System32\drivers\sncduvc.sys [2009.06.10 14:58:06 | 000,311,296 | ---- | C] () -- C:\Windows\System32\Rezip.exe [2009.06.10 14:49:38 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll [2009.06.10 14:38:31 | 000,000,276 | ---- | C] () -- C:\Windows\System32\drivers\SamSfPa.dat [2009.06.09 20:24:37 | 000,639,210 | ---- | C] () -- C:\Windows\System32\perfh007.dat [2009.06.09 20:24:37 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat [2009.06.09 20:24:37 | 000,131,218 | ---- | C] () -- C:\Windows\System32\perfc007.dat [2009.06.09 20:24:37 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat [2009.06.09 10:54:18 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll [2009.06.09 10:53:58 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin [2009.06.09 10:34:57 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin [2007.06.05 13:20:32 | 000,177,704 | ---- | C] () -- C:\Windows\System32\PSIService.exe [2006.11.02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2006.11.02 14:47:37 | 000,403,856 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT [2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll [2006.11.02 12:33:01 | 000,604,764 | ---- | C] () -- C:\Windows\System32\perfh009.dat [2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat [2006.11.02 12:33:01 | 000,108,096 | ---- | C] () -- C:\Windows\System32\perfc009.dat [2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat [2006.11.02 12:25:26 | 000,557,568 | ---- | C] () -- C:\Windows\System32\hpotscl1.dll [2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat [2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin [2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT [2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini [2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat ========== LOP Check ========== [2011.04.30 06:57:47 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\Downloaded Installations [2011.05.25 12:11:39 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\Lionhead Studios [2011.08.12 09:00:18 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\Nitro PDF [2011.07.30 16:45:05 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\RIFT [2009.10.02 15:22:51 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\Template [2011.07.04 12:17:51 | 000,000,000 | ---D | M] -- C:\Users\Mustermann\AppData\Roaming\TuneUp Software [2011.07.04 09:53:00 | 000,000,552 | ---- | M] () -- C:\Windows\Tasks\At1.job [2011.08.11 21:51:06 | 000,032,534 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== < End of report > Geändert von Pontiac (12.08.2011 um 09:57 Uhr) |
|
12.08.2011, 12:54
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg?Zitat:
__________________ |
|
12.08.2011, 14:04
| #3 |
| | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Das ist natürlich blöd, da ich das System bereits mit Spybot bereinigt habe und somit kein Log existiert oder doch?
__________________Habe leider keins gefunden, auch wenn dies nichts bringt poste ich mal die Logfile von Malwarebytes, die ich kurz nach dem Spybot scan + reinigung gemacht habe. Malwarebytes' Anti-Malware 1.51.1.1800 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 7424 Windows 6.0.6002 Service Pack 2 Internet Explorer 9.0.8112.16421 10.08.2011 08:20:18 mbam-log-2011-08-10 (08-20-18).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 154959 Laufzeit: 4 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Edit: Habe gerade gesehen bei Spybot könnte ich die Schädlinge wiederherstellen...soll ich das tun und dann nochmal mit Malwarebytes rübergehn um ein Log zu erstellen? Geändert von Pontiac (12.08.2011 um 14:12 Uhr) |
|
12.08.2011, 14:12
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
12.08.2011, 14:28
| #5 |
| | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Babylon.Toolbar Einstellung HKEY_LOCAL_MACHINE\SOFTWEAR\Google\chrome\Extensions\dhkplhfn…. Win32.Katusha.o Bibliothek C:\Windows\System32\dpnathmp.dll Fraud.WindowsLive.BHO Daten C:\Windows\System32\C_202884.NLS Diese 3 stehen 2 Mal bei der Wiederherstellungsoption von Spybot. ( Bei Babylon.Toolbar sind noch weitere Buchstaben, konnte es nicht kopieren o. Ä. daher abgeschrieben.) |
|
12.08.2011, 14:39
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Bitte Malwarebytes updaten und einen neuen Vollscan durchführen. Untersuche bitte alle Laufwerke.
__________________ --> Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? |
|
12.08.2011, 15:33
| #7 |
| | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Siehe Anhang |
|
12.08.2011, 17:40
| #8 |
| | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Entschuldige, aber ich habe ein wenig mehr Information bezüglich des kleinen schwarzen Fensters. Durch Zufall blieb es ein bisschen länger stehen, so dass ich etwas lesen konnte: " ... Parameter incorrect..." Nicht viel, aber vielleicht kannst du damit was anfangen. Ich frage mich ebenfalls, ob ich meinem Avira Antivir Personal überhaupt noch trauen kann, da es die drei Schädlinge nicht einmal erkannte. Habe nun erstmal die "agressiven" Einstellungen vorgenommen. |
|
12.08.2011, 19:25
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
PRC - [2009.03.05 18:54:50 | 000,311,296 | ---- | M] () -- C:\Windows\System32\Rezip.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
O4 - HKCU..\RunOnce: [SpybotDeletingB5256] C:\Windows\System32\COMMAND.COM ()
O4 - HKCU..\RunOnce: [SpybotDeletingD3258] C:\Windows\System32\cmd.exe (Microsoft Corporation)
O4 - HKCU..\RunOnce: [SpybotDeletingD5994] C:\Windows\System32\cmd.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2008.08.21 11:50:32 | 000,000,672 | RH-- | M] () - D:\autoexec.bat -- [ FAT32 ]
:Files
C:\Windows\Tasks\*.job
:Commands
[purity]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
12.08.2011, 20:42
| #10 |
| | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Verlief alles ohne Komplikationen, auch das schwarze Fenster ist nach dem Neustart nicht mehr aufgetaucht und Vista meldet Avira nicht als inaktiv. OTL-log: ========== OTL ========== Process Rezip.exe killed successfully! HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully! HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully! Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer deleted successfully. C:\Programme\Spybot - Search & Destroy\TeaTimer.exe moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingB5256 deleted successfully. File move failed. C:\Windows\System32\COMMAND.COM scheduled to be moved on reboot. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD3258 deleted successfully. File move failed. C:\Windows\System32\cmd.exe scheduled to be moved on reboot. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SpybotDeletingD5994 deleted successfully. File move failed. C:\Windows\System32\cmd.exe scheduled to be moved on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\autoexec.bat moved successfully. D:\autoexec.bat moved successfully. ========== FILES ========== C:\Windows\Tasks\At1.job moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.26.1 log created on 08122011_213535 Files\Folders moved on Reboot... File move failed. C:\Windows\System32\COMMAND.COM scheduled to be moved on reboot. File move failed. C:\Windows\System32\cmd.exe scheduled to be moved on reboot. Registry entries deleted on Reboot... |
|
12.08.2011, 22:10
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.08.2011, 07:08
| #12 |
| | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Probleme mit Dokumente/Eigene Dateien, habe ich glücklicherweise nicht, aber danke für den Tipp. Die Log von Kaspersky befindet sich im Anhang. |
|
15.08.2011, 08:57
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
15.08.2011, 20:13
| #14 |
| | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Moin, musste nach dem Combofix meinen Laptop neustarten, da ich keine Internetverbindung herstellen konnte. Und hier das Combofix Log: Combofix Logfile: Code:
ATTFilter ComboFix 11-08-15.07 - Mustermann 15.08.2011 20:52:52.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3066.2130 [GMT 2:00]
ausgeführt von:: c:\users\Mustermann\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-07-15 bis 2011-08-15 ))))))))))))))))))))))))))))))
.
.
2011-08-15 18:57 . 2011-08-15 18:58 -------- d-----w- c:\users\Mustermann\AppData\Local\temp
2011-08-15 18:57 . 2011-08-15 18:57 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-15 18:18 . 2011-08-15 18:18 9310 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXTBOX.JS
2011-08-15 18:18 . 2011-08-15 18:18 8646 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TILEBOX.JS
2011-08-15 18:18 . 2011-08-15 18:18 8613 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSER.JS
2011-08-15 18:18 . 2011-08-15 18:18 6429 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS
2011-08-15 18:18 . 2011-08-15 18:18 63115 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS
2011-08-15 18:18 . 2011-08-15 18:18 5927 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXT.JS
2011-08-15 18:18 . 2011-08-15 18:18 4599 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS
2011-08-15 18:18 . 2011-08-15 18:18 1651 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\QUERYSTRING.JS
2011-08-15 18:18 . 2011-08-15 18:18 8288 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\IMAGE.JS
2011-08-15 18:18 . 2011-08-15 18:18 6910 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERCOMM.JS
2011-08-15 18:18 . 2011-08-15 18:18 6208 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LINK.JS
2011-08-15 18:18 . 2011-08-15 18:18 18541 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LOCALIZATION.JS
2011-08-15 18:17 . 2011-08-15 18:17 51852 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\EXTERNALWRAPPER.JS
2011-08-15 18:17 . 2011-08-15 18:17 20719 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\DIVWRAPPER.JS
2011-08-15 18:17 . 2011-08-15 18:17 8782 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\BUTTON.JS
2011-08-15 18:17 . 2011-08-15 18:17 7271 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\CHECKBOX.JS
2011-08-15 18:17 . 2011-08-15 18:17 23327 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\COMBOBOX.JS
2011-08-12 19:35 . 2011-08-12 19:35 -------- d-----w- C:\_OTL
2011-08-12 08:30 . 2011-08-12 08:30 -------- d-----w- c:\program files\7-Zip
2011-08-12 06:09 . 2011-07-13 03:39 6881616 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{63BD2BCE-D4B5-468D-B437-5B57A3AB2B95}\mpengine.dll
2011-08-10 10:43 . 2011-07-06 15:31 214016 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-08-10 10:43 . 2011-06-17 16:03 375808 ----a-w- c:\windows\system32\winsrv.dll
2011-08-10 10:43 . 2011-06-06 10:59 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2011-08-10 10:43 . 2011-06-20 08:54 3602832 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-08-10 10:43 . 2011-06-20 08:54 3550096 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-08-10 10:43 . 2011-06-17 20:13 905104 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-08-10 06:14 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-10 06:14 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-08-10 06:14 . 2011-08-10 06:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-08-09 10:40 . 2011-08-12 19:35 -------- d-----w- c:\program files\Spybot - Search & Destroy
2011-08-09 10:40 . 2011-08-12 16:12 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2011-07-30 14:44 . 2011-08-13 07:09 -------- d-----w- c:\program files\RIFT Game
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-04 17:42 . 2011-07-04 17:42 161792 ----a-w- c:\windows\system32\msls31.dll
2011-07-04 17:42 . 2011-07-04 17:42 86528 ----a-w- c:\windows\system32\iesysprep.dll
2011-07-04 17:42 . 2011-07-04 17:42 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2011-07-04 17:42 . 2011-07-04 17:42 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2011-07-04 17:42 . 2011-07-04 17:42 74752 ----a-w- c:\windows\system32\iesetup.dll
2011-07-04 17:42 . 2011-07-04 17:42 63488 ----a-w- c:\windows\system32\tdc.ocx
2011-07-04 17:42 . 2011-07-04 17:42 48640 ----a-w- c:\windows\system32\mshtmler.dll
2011-07-04 17:42 . 2011-07-04 17:42 367104 ----a-w- c:\windows\system32\html.iec
2011-07-04 17:42 . 2011-07-04 17:42 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-07-04 17:42 . 2011-07-04 17:42 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-07-04 17:42 . 2011-07-04 17:42 35840 ----a-w- c:\windows\system32\imgutil.dll
2011-07-04 17:42 . 2011-07-04 17:42 23552 ----a-w- c:\windows\system32\licmgr10.dll
2011-07-04 17:42 . 2011-07-04 17:42 152064 ----a-w- c:\windows\system32\wextract.exe
2011-07-04 17:42 . 2011-07-04 17:42 150528 ----a-w- c:\windows\system32\iexpress.exe
2011-07-04 17:42 . 2011-07-04 17:42 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2011-07-04 17:42 . 2011-07-04 17:42 11776 ----a-w- c:\windows\system32\mshta.exe
2011-07-04 17:42 . 2011-07-04 17:42 101888 ----a-w- c:\windows\system32\admparse.dll
2011-07-04 17:42 . 2011-07-04 17:42 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2011-06-30 11:07 . 2010-10-29 09:19 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-06-30 11:07 . 2010-10-29 09:19 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-06-21 07:51 . 2011-05-16 16:32 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-02 13:34 . 2011-07-13 04:12 2043392 ----a-w- c:\windows\system32\win32k.sys
2011-05-25 10:27 . 2009-08-18 09:30 564632 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll
2011-05-25 10:27 . 2009-08-18 09:24 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-05-24 17:14 . 2010-07-17 00:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-07-08 07:31 . 2011-08-09 09:56 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-16 281768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 04:59 937920 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-06-08 04:02 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\fspuip]
2009-06-19 06:25 765952 ----a-w- c:\program files\FSP\FspUip.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2009-02-11 15:38 186904 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
2009-01-07 19:46 1468296 ----a-w- c:\program files\Microsoft IntelliPoint\ipoint.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MDS_Menu]
2008-12-03 20:15 218408 ------w- c:\program files\HomeCinema\MediaShow4\MUITransfer\MUIStartMenu.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-05-08 20:58 13605408 ----a-w- c:\windows\System32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-05-08 20:58 92704 ----a-w- c:\windows\System32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
2007-12-14 09:36 50472 ------w- c:\program files\HomeCinema\PowerDVD8\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
2008-10-31 10:06 6609440 ------w- c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnp2uvc]
2008-08-28 13:03 233472 ----a-w- c:\windows\tsnp2uvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UCam_Menu]
2008-12-03 20:15 218408 ------w- c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 resetWinService;Reset Reader;c:\program files\Realtek Semiconductor Corp\Realtek USB 2.0 Card Reader\reset.exe [2008-10-29 70656]
R3 fspad_wlh32;Finger-sensing Pad Driver for Windows 2000/XP/Vista/Win7_wlh32;c:\windows\system32\DRIVERS\fspad_wlh32.sys [2009-06-17 41984]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2010-11-30 4023760]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
S2 NitroDriverReadSpool;NitroPDFDriverCreatorReadSpool;c:\program files\Nitro PDF\Professional\NitroPDFDriverService.exe [2011-03-21 196928]
S2 Rezip;Rezip;c:\windows\SYSTEM32\Rezip.exe [2009-03-05 311296]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-05-01 64032]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2009-05-08 498176]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: An OneNote s&enden - c:\progra~1\MI1933~1\Office14\ONBttnIE.dll/105
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MI1933~1\Office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4
FF - ProfilePath - c:\users\jesco\AppData\Roaming\Mozilla\Firefox\Profiles\zdr8lbga.default\
FF - prefs.js: browser.startup.homepage - www.google.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
AddRemove-_{E1A63F75-1F72-4450-980D-434496FFC646} - c:\program files\Corel\Corel Painter Essentials 4\MSILauncher {E1A63F75-1F72-4450-980D-434496FFC646}
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-15 20:58
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
Zeit der Fertigstellung: 2011-08-15 20:59:51
ComboFix-quarantined-files.txt 2011-08-15 18:59
.
Vor Suchlauf: 11 Verzeichnis(se), 141.850.013.696 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 141.785.788.416 Bytes frei
.
- - End Of File - - 42CC71EFC1FF903010C6D689FD50A3A8
|
|
15.08.2011, 21:24
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Win32.Katusha.o / Fraud.WindowsLive.BHO und Babylon.Toolbar- gelöscht, aber sind Sie wirklich weg? |
| adware, antivir, autorun, avira, beseitigung, bestimmte seiten, c:\windows\system32\cmd.exe, defender, explorer, firefox, format, google, home, infizierte, installation, logfile, malware c, neu aufsetzen, neustart, nvlddmkm.sys, otl-log, plug-in, problem, prozesse, realtek, registry, safer networking, software, spielen, spyware, start menu, suchmaschine, trojaner, usb, usb 2.0, version=1.0, vista, win 32 |
Linear-Darstellung
