|
Plagegeister aller Art und deren Bekämpfung: antivir hat trojaner gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.09.2011, 11:17 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | antivir hat trojaner gefunden Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2011, 11:40 | #17 |
| antivir hat trojaner gefunden hier das combofix-log
__________________Combofix Logfile: Code:
ATTFilter ComboFix 11-09-19.05 - GOE 20.09.2011 12:27:50.1.8 - x64 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.6134.4018 [GMT 2:00] ausgeführt von:: c:\users\GOE\Desktop\ComboFix.exe AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\users\GOE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scancdiskf29.dll c:\users\GOE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scandisk.lnk . . ((((((((((((((((((((((( Dateien erstellt von 2011-08-20 bis 2011-09-20 )))))))))))))))))))))))))))))) . . 2011-09-20 10:32 . 2011-09-20 10:32 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp 2011-09-20 10:32 . 2011-09-20 10:32 -------- d-----w- c:\users\GOE\AppData\Local\temp 2011-09-20 10:32 . 2011-09-20 10:32 -------- d-----w- c:\users\Default\AppData\Local\temp 2011-09-19 19:26 . 2011-08-16 06:48 8862544 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{98F644FE-C2C4-4A53-9EB0-41352B3390C0}\mpengine.dll 2011-09-19 14:09 . 2011-09-19 14:09 -------- d-----w- c:\program files (x86)\ESET 2011-09-15 03:04 . 2011-08-10 12:14 2409784 ----a-w- c:\program files (x86)\Windows Mail\OESpamFilter.dat 2011-09-15 03:04 . 2011-08-10 12:14 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat 2011-09-03 05:32 . 2011-09-03 05:32 1138440 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2011-09-01 15:45 . 2011-09-01 15:45 -------- d-----w- c:\program files\iTunes 2011-08-24 09:07 . 2011-07-11 13:45 2048 ----a-w- c:\windows\system32\tzres.dll 2011-08-24 09:07 . 2011-07-11 13:25 2048 ----a-w- c:\windows\SysWow64\tzres.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-09-15 09:22 . 2011-05-16 06:36 404640 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2011-08-31 15:00 . 2010-11-15 10:46 25416 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-07-23 11:31 . 2011-08-10 15:42 1147904 ----a-w- c:\windows\system32\wininet.dll 2011-07-23 11:24 . 2011-08-10 15:42 56832 ----a-w- c:\windows\system32\licmgr10.dll 2011-07-23 11:23 . 2011-08-10 15:42 1538560 ----a-w- c:\windows\system32\inetcpl.cpl 2011-07-23 11:23 . 2011-08-10 15:42 132096 ----a-w- c:\windows\system32\iesysprep.dll 2011-07-23 11:23 . 2011-08-10 15:42 77312 ----a-w- c:\windows\system32\iesetup.dll 2011-07-23 11:04 . 2011-08-10 15:42 916480 ----a-w- c:\windows\SysWow64\wininet.dll 2011-07-23 11:00 . 2011-08-10 15:42 43520 ----a-w- c:\windows\SysWow64\licmgr10.dll 2011-07-23 10:59 . 2011-08-10 15:42 1469440 ----a-w- c:\windows\SysWow64\inetcpl.cpl 2011-07-23 10:59 . 2011-08-10 15:42 71680 ----a-w- c:\windows\SysWow64\iesetup.dll 2011-07-23 10:59 . 2011-08-10 15:42 109056 ----a-w- c:\windows\SysWow64\iesysprep.dll 2011-07-23 10:31 . 2011-08-10 15:42 479232 ----a-w- c:\windows\system32\html.iec 2011-07-23 10:03 . 2011-08-10 15:42 385024 ----a-w- c:\windows\SysWow64\html.iec 2011-07-23 09:50 . 2011-08-10 15:42 162816 ----a-w- c:\windows\system32\ieUnatt.exe 2011-07-23 09:48 . 2011-08-10 15:42 1638912 ----a-w- c:\windows\system32\mshtml.tlb 2011-07-23 09:27 . 2011-08-10 15:42 133632 ----a-w- c:\windows\SysWow64\ieUnatt.exe 2011-07-23 09:25 . 2011-08-10 15:42 1638912 ----a-w- c:\windows\SysWow64\mshtml.tlb 2011-07-12 09:34 . 2011-07-12 09:34 96104 ----a-w- c:\windows\system32\dns-sd.exe 2011-07-12 09:34 . 2011-07-12 09:34 85864 ----a-w- c:\windows\system32\dnssd.dll 2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\SysWow64\dns-sd.exe 2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\SysWow64\dnssd.dll 2011-07-08 09:09 . 2011-03-28 16:36 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll 2011-07-06 15:49 . 2011-08-10 15:42 275456 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys 2011-07-05 16:37 . 2011-07-05 16:37 94208 ----a-w- c:\windows\SysWow64\QuickTimeVR.qtx 2011-07-05 16:37 . 2011-07-05 16:37 69632 ----a-w- c:\windows\SysWow64\QuickTime.qts 2011-06-28 11:45 . 2010-07-26 20:27 88288 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2011-06-28 11:45 . 2010-07-26 20:27 123784 ----a-w- c:\windows\system32\drivers\avipbb.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP] @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}" [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}] 2008-07-29 16:52 121392 ----a-w- c:\program files (x86)\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 138240] "SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] "swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-29 68856] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "PCMMediaSharing"="c:\program files (x86)\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe" [2008-05-20 204908] "TkBellExe"="c:\program files (x86)\Common Files\Real\Update_OB\realsched.exe" [2010-03-22 202256] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768] "AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656] "AirPort Base Station Agent"="c:\program files (x86)\AirPort\APAgent.exe" [2009-11-11 771360] "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-07-05 421888] "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-08-18 421736] "Malwarebytes' Anti-Malware (reboot)"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208] . c:\users\GOE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ scancdiskf29.dll [2011-4-12 1219072] scandisk.lnk - c:\windows\system32\rundll32.exe [2006-11-2 46592] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) . R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 gupdate1ca1466a21734d0;Google Update Service (gupdate1ca1466a21734d0);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-08-03 133104] R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-04-01 183560] R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files (x86)\Common Files\MAGIX Shared\Database2\bin\fbserver.exe [2008-08-07 3276800] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-08-03 133104] R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-09-23 50424] R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768] S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot64.sys [x] S2 AAV UpdateService;AAV UpdateService;c:\program files (x86)\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296] S2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files (x86)\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [2008-05-20 269448] S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952] S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-21 27648] S2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files (x86)\Avira\AntiVir Desktop\avmailc.exe [2011-06-28 340136] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360] S2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [2011-06-28 428200] S2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-10-01 24576] S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files (x86)\Common Files\MAGIX Shared\Database2\bin\FABS.exe [2008-12-16 1155072] S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-09-23 144632] S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-25 2214504] S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368] S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-05-20 378472] S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\DRIVERS\e1y60x64.sys [x] S3 gwfilt64;gwfilt64;c:\windows\system32\drivers\gwfilt64.sys [x] . . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - 72735925 *Deregistered* - 72735925 . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost] hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc Akamai REG_MULTI_SZ Akamai . Inhalt des "geplante Tasks" Ordners . 2011-09-20 c:\windows\Tasks\Google Software Updater.job - c:\program files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-29 15:11] . 2011-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-08-03 18:17] . 2011-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-08-03 18:17] . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP] @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}" [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}] 2008-07-29 16:53 50736 ----a-w- c:\program files (x86)\Acer\Empowering Technology\eDataSecurity\x64\PSDProtect.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "LoadAppInit_DLLs"=0x0 . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.supportersclub.de/ uLocal Page = c:\windows\system32\blank.htm mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp64&d=0409&m=aspire_m7720 mLocal Page = c:\windows\SysWOW64\blank.htm uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft &Excel exportieren - c:\progra~2\MI1933~1\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~2\MI1933~1\Office12\EXCEL.EXE/3000 LSP: c:\program files (x86)\Avira\AntiVir Desktop\avsda.dll TCP: DhcpNameServer = 192.168.178.1 CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll FF - ProfilePath - c:\users\GOE\AppData\Roaming\Mozilla\Firefox\Profiles\shmzz143.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://www.supportersclub.de/index.php?id=gaestebuch FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= . - - - - Entfernte verwaiste Registrierungseinträge - - - - . BHO-{1ED16E0A-E8C4-40A0-8BC2-79485D21F796} - (no file) Wow6432Node-HKCU-Run-WMPNSCFG - c:\program files (x86)\Windows Media Player\WMPNSCFG.exe Wow6432Node-HKLM-Run-eRecoveryService - (no file) HKLM-Run-Windows Defender - c:\program files (x86)\Windows Defender\MSASCui.exe AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-562977904-3008332237-249228847-1000\¬ î**] @Allowed: (Read) (RestrictedCode) "MachineID"=hex:bf,88,b7,36,63,b9,f7,00 DUMPHIVE0.003 (REGF) . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10w_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10w_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}] @Denied: (A 2) (Everyone) @SACL= @="IFlashBroker" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\ProxyStubClsid] @Denied: (A 2) (Everyone) @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}] @Denied: (A 2) (Everyone) . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0] @="Shockwave Flash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}] @Denied: (A 2) (Everyone) @="" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0] @="FlashBroker" . [HKEY_LOCAL_MACHINE\software\Wow6432Node\Classes] "SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59, 00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\ . Zeit der Fertigstellung: 2011-09-20 12:33:48 ComboFix-quarantined-files.txt 2011-09-20 10:33 . Vor Suchlauf: 13 Verzeichnis(se), 177.701.220.352 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 177.633.902.592 Bytes frei . - - End Of File - - B0E37859449B70A3B29675D97C96D85E |
20.09.2011, 11:44 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | antivir hat trojaner gefunden Combofix - Scripten
__________________1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Regnull:: [HKEY_USERS\S-1-5-21-562977904-3008332237-249228847-1000\¬ î**] 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ |
20.09.2011, 12:04 | #19 |
| antivir hat trojaner gefunden es fand kein neustart statt, da ich nicht danach gefragt wurde! soll ich einen neustart vornehmen? außerdem bin ich mir nicht sicher ob spybot und teatimer vorhanden sind und abgeschaltet waren... hier das (neue) combofix-log Combofix Logfile: Code:
ATTFilter ComboFix 11-09-19.05 - GOE 20.09.2011 12:55:05.1.8 - x64 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.6134.3719 [GMT 2:00] ausgeführt von:: c:\users\GOE\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\users\GOE\Desktop\CFScript.txt AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\users\GOE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scancdiskf29.dll c:\users\GOE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scandisk.lnk . . ((((((((((((((((((((((( Dateien erstellt von 2011-08-20 bis 2011-09-20 )))))))))))))))))))))))))))))) . . 2011-09-20 10:59 . 2011-09-20 10:59 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp 2011-09-20 10:59 . 2011-09-20 10:59 -------- d-----w- c:\users\GOE\AppData\Local\temp 2011-09-20 10:59 . 2011-09-20 10:59 -------- d-----w- c:\users\Default\AppData\Local\temp 2011-09-19 19:26 . 2011-08-16 06:48 8862544 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{98F644FE-C2C4-4A53-9EB0-41352B3390C0}\mpengine.dll 2011-09-19 14:09 . 2011-09-19 14:09 -------- d-----w- c:\program files (x86)\ESET 2011-09-15 03:04 . 2011-08-10 12:14 2409784 ----a-w- c:\program files (x86)\Windows Mail\OESpamFilter.dat 2011-09-15 03:04 . 2011-08-10 12:14 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat 2011-09-03 05:32 . 2011-09-03 05:32 1138440 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2011-09-01 15:45 . 2011-09-01 15:45 -------- d-----w- c:\program files\iTunes 2011-08-24 09:07 . 2011-07-11 13:45 2048 ----a-w- c:\windows\system32\tzres.dll 2011-08-24 09:07 . 2011-07-11 13:25 2048 ----a-w- c:\windows\SysWow64\tzres.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-09-15 09:22 . 2011-05-16 06:36 404640 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2011-08-31 15:00 . 2010-11-15 10:46 25416 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-07-23 11:31 . 2011-08-10 15:42 1147904 ----a-w- c:\windows\system32\wininet.dll 2011-07-23 11:24 . 2011-08-10 15:42 56832 ----a-w- c:\windows\system32\licmgr10.dll 2011-07-23 11:23 . 2011-08-10 15:42 1538560 ----a-w- c:\windows\system32\inetcpl.cpl 2011-07-23 11:23 . 2011-08-10 15:42 132096 ----a-w- c:\windows\system32\iesysprep.dll 2011-07-23 11:23 . 2011-08-10 15:42 77312 ----a-w- c:\windows\system32\iesetup.dll 2011-07-23 11:04 . 2011-08-10 15:42 916480 ----a-w- c:\windows\SysWow64\wininet.dll 2011-07-23 11:00 . 2011-08-10 15:42 43520 ----a-w- c:\windows\SysWow64\licmgr10.dll 2011-07-23 10:59 . 2011-08-10 15:42 1469440 ----a-w- c:\windows\SysWow64\inetcpl.cpl 2011-07-23 10:59 . 2011-08-10 15:42 71680 ----a-w- c:\windows\SysWow64\iesetup.dll 2011-07-23 10:59 . 2011-08-10 15:42 109056 ----a-w- c:\windows\SysWow64\iesysprep.dll 2011-07-23 10:31 . 2011-08-10 15:42 479232 ----a-w- c:\windows\system32\html.iec 2011-07-23 10:03 . 2011-08-10 15:42 385024 ----a-w- c:\windows\SysWow64\html.iec 2011-07-23 09:50 . 2011-08-10 15:42 162816 ----a-w- c:\windows\system32\ieUnatt.exe 2011-07-23 09:48 . 2011-08-10 15:42 1638912 ----a-w- c:\windows\system32\mshtml.tlb 2011-07-23 09:27 . 2011-08-10 15:42 133632 ----a-w- c:\windows\SysWow64\ieUnatt.exe 2011-07-23 09:25 . 2011-08-10 15:42 1638912 ----a-w- c:\windows\SysWow64\mshtml.tlb 2011-07-12 09:34 . 2011-07-12 09:34 96104 ----a-w- c:\windows\system32\dns-sd.exe 2011-07-12 09:34 . 2011-07-12 09:34 85864 ----a-w- c:\windows\system32\dnssd.dll 2011-07-12 09:20 . 2011-07-12 09:20 83816 ----a-w- c:\windows\SysWow64\dns-sd.exe 2011-07-12 09:20 . 2011-07-12 09:20 73064 ----a-w- c:\windows\SysWow64\dnssd.dll 2011-07-08 09:09 . 2011-03-28 16:36 18328 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll 2011-07-06 15:49 . 2011-08-10 15:42 275456 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys 2011-07-05 16:37 . 2011-07-05 16:37 94208 ----a-w- c:\windows\SysWow64\QuickTimeVR.qtx 2011-07-05 16:37 . 2011-07-05 16:37 69632 ----a-w- c:\windows\SysWow64\QuickTime.qts 2011-06-28 11:45 . 2010-07-26 20:27 88288 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2011-06-28 11:45 . 2010-07-26 20:27 123784 ----a-w- c:\windows\system32\drivers\avipbb.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP] @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}" [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}] 2008-07-29 16:52 121392 ----a-w- c:\program files (x86)\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 138240] "SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] "swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-29 68856] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "PCMMediaSharing"="c:\program files (x86)\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe" [2008-05-20 204908] "TkBellExe"="c:\program files (x86)\Common Files\Real\Update_OB\realsched.exe" [2010-03-22 202256] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768] "AppleSyncNotifier"="c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656] "AirPort Base Station Agent"="c:\program files (x86)\AirPort\APAgent.exe" [2009-11-11 771360] "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-07-05 421888] "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-08-18 421736] "Malwarebytes' Anti-Malware (reboot)"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) . R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 gupdate1ca1466a21734d0;Google Update Service (gupdate1ca1466a21734d0);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-08-03 133104] R3 BBSvc;Bing Bar Update Service;c:\program files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-04-01 183560] R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files (x86)\Common Files\MAGIX Shared\Database2\bin\fbserver.exe [2008-08-07 3276800] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-08-03 133104] R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-09-23 50424] R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768] S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot64.sys [x] S2 AAV UpdateService;AAV UpdateService;c:\program files (x86)\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296] S2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files (x86)\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [2008-05-20 269448] S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952] S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-21 27648] S2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files (x86)\Avira\AntiVir Desktop\avmailc.exe [2011-06-28 340136] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360] S2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [2011-06-28 428200] S2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-10-01 24576] S2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files (x86)\Common Files\MAGIX Shared\Database2\bin\FABS.exe [2008-12-16 1155072] S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-09-23 144632] S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-25 2214504] S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368] S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-05-20 378472] S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\DRIVERS\e1y60x64.sys [x] S3 gwfilt64;gwfilt64;c:\windows\system32\drivers\gwfilt64.sys [x] . . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - 72735925 *Deregistered* - 72735925 . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost] hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc Akamai REG_MULTI_SZ Akamai . Inhalt des "geplante Tasks" Ordners . 2011-09-20 c:\windows\Tasks\Google Software Updater.job - c:\program files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-29 15:11] . 2011-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-08-03 18:17] . 2011-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-08-03 18:17] . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP] @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}" [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}] 2008-07-29 16:53 50736 ----a-w- c:\program files (x86)\Acer\Empowering Technology\eDataSecurity\x64\PSDProtect.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992] . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.supportersclub.de/ uLocal Page = c:\windows\system32\blank.htm mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=1&o=vp64&d=0409&m=aspire_m7720 mLocal Page = c:\windows\SysWOW64\blank.htm uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft &Excel exportieren - c:\progra~2\MI1933~1\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~2\MI1933~1\Office12\EXCEL.EXE/3000 LSP: c:\program files (x86)\Avira\AntiVir Desktop\avsda.dll TCP: DhcpNameServer = 192.168.178.1 CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll FF - ProfilePath - c:\users\GOE\AppData\Roaming\Mozilla\Firefox\Profiles\shmzz143.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://www.supportersclub.de/index.php?id=gaestebuch FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= . - - - - Entfernte verwaiste Registrierungseinträge - - - - . BHO-{1ED16E0A-E8C4-40A0-8BC2-79485D21F796} - (no file) . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-562977904-3008332237-249228847-1000\¬ î**] @Allowed: (Read) (RestrictedCode) "MachineID"=hex:bf,88,b7,36,63,b9,f7,00 DUMPHIVE0.003 (REGF) . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10w_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10w_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}] @Denied: (A 2) (Everyone) @SACL= @="IFlashBroker" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\ProxyStubClsid] @Denied: (A 2) (Everyone) @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}] @Denied: (A 2) (Everyone) . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0] @="Shockwave Flash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}] @Denied: (A 2) (Everyone) @="" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0] @="FlashBroker" . [HKEY_LOCAL_MACHINE\software\Wow6432Node\Classes] "SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59, 00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\ . Zeit der Fertigstellung: 2011-09-20 13:01:06 ComboFix-quarantined-files.txt 2011-09-20 11:01 ComboFix2.txt 2011-09-20 10:33 . Vor Suchlauf: 17 Verzeichnis(se), 177.667.018.752 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 177.636.093.952 Bytes frei . - - End Of File - - ACF5B01B62080F3165CAF93DDD55FC4D Geändert von dergoe (20.09.2011 um 12:13 Uhr) |
20.09.2011, 12:55 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | antivir hat trojaner gefunden Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2011, 13:22 | #21 |
| antivir hat trojaner gefunden hier das aswMBR-file aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software Run date: 2011-09-20 14:05:50 ----------------------------- 14:05:50.722 OS Version: Windows x64 6.0.6002 Service Pack 2 14:05:50.722 Number of processors: 8 586 0x1A04 14:05:50.723 ComputerName: GOE3 UserName: GOE 14:05:51.864 Initialize success 14:07:07.440 AVAST engine defs: 11092000 14:07:14.061 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 14:07:14.064 Disk 0 Vendor: WDC_WD10 01.0 Size: 953869MB BusType: 3 14:07:14.088 Disk 0 MBR read successfully 14:07:14.091 Disk 0 MBR scan 14:07:14.095 Disk 0 unknown MBR code 14:07:14.098 Service scanning 14:07:15.498 Modules scanning 14:07:15.501 Disk 0 trace - called modules: 14:07:15.516 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 14:07:15.519 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006a98340] 14:07:15.522 3 CLASSPNP.SYS[fffffa60011d1c33] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8006587050] 14:07:16.990 AVAST engine scan C:\Windows 14:07:23.334 AVAST engine scan C:\Windows\system32 14:09:09.635 AVAST engine scan C:\Windows\system32\drivers 14:09:19.424 AVAST engine scan C:\Users\GOE 14:17:10.404 File: C:\Users\GOE\drloadwF4.dll **INFECTED** Win32:Sinowal-JE [Trj] 14:18:19.699 AVAST engine scan C:\ProgramData 14:19:30.515 Scan finished successfully 14:19:50.865 Disk 0 MBR has been saved successfully to "C:\Users\GOE\Desktop\MBR.dat" 14:19:50.869 The log file has been saved successfully to "C:\Users\GOE\Desktop\aswMBR.txt" |
20.09.2011, 13:44 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | antivir hat trojaner gefunden Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!) Code:
ATTFilter :Files C:\Users\GOE\drloadwF4.dll :Commands [emptytemp] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2011, 14:11 | #23 |
| antivir hat trojaner gefunden nach dem fix wurde der rechner neu gestartet. (dauerte länger als üblich - wegen des fixes nehm ich an) es poppte folgende meldung auf: "RUNDLL Fehler beim Laden von C:\Users\GOE\DRLOAD~1.DLL Das angegebene Modul wurde nicht gefunden" außerdem poppte die benutzersteuerung für Malwarebytes auf, verschwand aber nach kurzer zeit wieder. hier das logfile: All processes killed ========== FILES ========== C:\Users\GOE\drloadwF4.dll moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: GOE ->Temp folder emptied: 47673021 bytes ->Temporary Internet Files folder emptied: 47979882 bytes ->Java cache emptied: 7239122 bytes ->FireFox cache emptied: 408796436 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 5854 bytes User: Public ->Temp folder emptied: 0 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 568 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 488,00 mb File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot. HOSTS file reset successfully OTL by OldTimer - Version 3.2.29.1 log created on 09202011_145156 Files\Folders moved on Reboot... File move failed. C:\Windows\temp\CLDigitalHome\CLMS_AGENT_LOG1.txt scheduled to be moved on reboot. File move failed. C:\Windows\temp\CLDigitalHome\PCMMediaServer.log scheduled to be moved on reboot. File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot. Registry entries deleted on Reboot... |
20.09.2011, 14:27 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | antivir hat trojaner gefunden Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht. Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR. Anschließend Windows neu starten und ein neues Log mit aswMBR machen.
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2011, 14:50 | #25 |
| antivir hat trojaner gefunden nach dem fix wurde der rechner neu gestartet. es poppte folgende meldung auf: "RUNDLL Fehler beim Laden von C:\Users\GOE\DRLOAD~1.DLL Das angegebene Modul wurde nicht gefunden" hier das log-file vor dem neustart: aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software Run date: 2011-09-20 15:39:35 ----------------------------- 15:39:35.645 OS Version: Windows x64 6.0.6002 Service Pack 2 15:39:35.645 Number of processors: 8 586 0x1A04 15:39:35.645 ComputerName: GOE3 UserName: GOE 15:39:36.919 Initialize success 15:40:19.501 AVAST engine defs: 11092000 15:40:53.261 Verifying 15:41:03.272 Disk 0 Windows 600 MBR fixed successfully 15:42:31.607 Disk 0 MBR has been saved successfully to "C:\Users\GOE\Desktop\MBR.dat" 15:42:31.608 The log file has been saved successfully to "C:\Users\GOE\Desktop\aswMBRvorneustart.txt" hier das logfile nach dem neustart: aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software Run date: 2011-09-20 15:47:03 ----------------------------- 15:47:03.923 OS Version: Windows x64 6.0.6002 Service Pack 2 15:47:03.923 Number of processors: 8 586 0x1A04 15:47:03.923 ComputerName: GOE3 UserName: GOE 15:47:05.897 Initialize success 15:47:13.727 AVAST engine defs: 11092000 15:47:27.154 The log file has been saved successfully to "C:\Users\GOE\Desktop\aswMBRnachneustart.txt" |
20.09.2011, 15:28 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | antivir hat trojaner gefunden Naja, das letzte aswMBR Log sieht aber zu kurz aus. Bitte so machen wie am Anfang: Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2011, 15:36 | #27 |
| antivir hat trojaner gefunden aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software Run date: 2011-09-20 16:30:06 ----------------------------- 16:30:06.022 OS Version: Windows x64 6.0.6002 Service Pack 2 16:30:06.022 Number of processors: 8 586 0x1A04 16:30:06.022 ComputerName: GOE3 UserName: GOE 16:30:07.207 Initialize success 16:30:10.486 AVAST engine defs: 11092000 16:30:18.123 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 16:30:18.126 Disk 0 Vendor: WDC_WD10 01.0 Size: 953869MB BusType: 3 16:30:18.133 Disk 0 MBR read successfully 16:30:18.136 Disk 0 MBR scan 16:30:18.140 Disk 0 Windows VISTA default MBR code 16:30:18.142 Service scanning 16:30:21.327 Modules scanning 16:30:21.330 Disk 0 trace - called modules: 16:30:21.344 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 16:30:21.347 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8006a9a790] 16:30:21.349 3 CLASSPNP.SYS[fffffa60011d2c33] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8006587050] 16:30:22.406 AVAST engine scan C:\Windows 16:30:29.617 AVAST engine scan C:\Windows\system32 16:32:32.906 AVAST engine scan C:\Windows\system32\drivers 16:32:51.582 AVAST engine scan C:\Users\GOE 16:35:20.190 Disk 0 MBR has been saved successfully to "C:\Users\GOE\Desktop\MBR.dat" 16:35:20.205 The log file has been saved successfully to "C:\Users\GOE\Desktop\aswMBR.txt" |
20.09.2011, 15:46 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | antivir hat trojaner gefunden Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2011, 18:20 | #29 |
| antivir hat trojaner gefunden malwarebytes-logfile: Malwarebytes' Anti-Malware 1.51.2.1300 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 7755 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.19120 20.09.2011 19:18:51 mbam-log-2011-09-20 (19-18-51).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|L:\|) Durchsuchte Objekte: 619717 Laufzeit: 1 Stunde(n), 57 Minute(n), 9 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplDaemonTool (Trojan.Agent.WIMP) -> Value: NvCplDaemonTool -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Qoobox\quarantine\C\Users\GOE\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scancdiskf29.dll.vir (Trojan.Sinowal) -> Quarantined and deleted successfully. c:\_OTL\movedfiles\09202011_145156\C_Users\GOE\drloadwf4.dll (Trojan.Sinowal) -> Quarantined and deleted successfully. |
20.09.2011, 18:52 | #30 |
/// Winkelfunktion /// TB-Süch-Tiger™ | antivir hat trojaner gefunden Ok, das waren noch die Überreste. Einer in der Registry, die zwei Dateien sind isoliert, die haben wir mit OTL und CF gelöscht und liegen da in der Q isoliert herum und sind damit nicht mehr aktiv. Warten wir die anderen Logs ab.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu antivir hat trojaner gefunden |
antivir, downloader, funde, gefunde, loader, quarantäne, rechner, rojaner gefunden, sauber, sicherheit, troja, trojan.downloader, trojan.sinowal, trojandownloader, trojaner, trojaner gefunden, unsicher, win, zuletzt |