Hallo,

habe ein schwerwiegendes Problem. Den Trojaner win32/sirefef.O
Nichts geht mehr. Zuerst wurde Bitdefender lahmgelegt, dann habe ich mir Avira geholt. Dutzende Meldungen über Funde kamen. Bsp:

TODDSrv

CFSvcs

TosCoSrv

UAService7

TosIPCSrv

alle diese zum System zugehörigen .exen seien infiziert. Sogar Avira und bitdefender ?!?!?!?

Der windows defender meldet sich nach jedem Neustart und sagt, es gibt ein Problem mit einem Trojaner sirefef.O Das Ding ist nicht löschbar. Defender sagt erfolgreich gelöscht, dann kommt die Meldung wieder unter Fehler. Konnte nicht gelöscht werden, da es in einem schreibgeschützten Pfad steckt:

C:\Windows\639597413:2592399577.exe

Diese Datei gibt es nicht. Es läuft auch kein Prozess, welcher mit dem Trojaner in Verbindung steht. Ich habe bereits eine Onlineanweisung befolgt um ihn zu löschen. Registryeinträge löschen usw. Ebenfalls ohne Erfolg. Auch einen Onlinescan durchgeführt 40 Funde. Alles gelöscht. Auch der besagte trojaner war dabei und die oben genannten .exen. Diese wurden aber nicht gelöscht. Der Trojaner hat wohl gewisse programme gepatched. Meine Browser leiten mich häufig auf irgendeinen werbemüll. Nicht auf die gewünschte Seite. Ich habe überall nach diesem dreck gesucht. System32 und local usw. und nach änderungsdatum geschaut. Nichts. Mein System ist wohl bis in die Grundarchitektur infiziert. Glaube langsam ich muss mein Laptop wegschmeißen. Bitte dringend um Hilfe. Dieser sirefef.O ist ziemlich neu und man findet im inet kaum was. Alles scheint von ihm befallen zu sein. Grade noch spyfighter heruntergeladen und beim scan hängengeblieben. Registyboost ebenfalls abgestürzt. Was kann ich da nur machen?!?!?!

hi, wegschmeißen, so ein quark :-) aber du wirst ihn formatieren müssen.
will mir vorher nur was ansehen, damit du deine daten gefahrlos sichern kannst.
ps der ist nicht neu, heißt aber zero access oder max++
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

wow, das ging fox. vielen dank. mein pc ist grad zum 2. mal abgeschmiert. bluescreen. ich werd gleich mal deine anweisung befolgen. habe aber keine externe fürn backup

danke. hat geklappt mit dem combofix. jetzt ist er weg. man bin ich erleichtern. vielen dank noch mal :-)

das log bitte. woher willst du wissen ob alles weg ist wenn wir nicht mal die logs analysiert haben :-)

ok, hier bitte. viel spaß ^^

---------------------------------------------------------------------

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-10-23.01 - Daniele 23.10.2011  17:48:20.1.2 - x86
ausgeführt von:: c:\users\Daniele\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: SPYWAREfighter *Disabled/Updated* {2CA2BED9-C3E1-63C9-3FCE-3527C816A7C9}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\FunWebProducts
c:\users\Daniele\AppData\Local\lame_enc.dll
c:\users\Daniele\AppData\Local\no23xwrapper.dll
c:\users\Daniele\AppData\Local\ogg.dll
c:\users\Daniele\AppData\Local\vorbis.dll
c:\users\Daniele\AppData\Local\vorbisenc.dll
c:\users\Daniele\AppData\Local\vorbisfile.dll
c:\users\Daniele\AppData\Roaming\15E6.800
c:\users\Daniele\AppData\Roaming\Desktopicon
c:\users\Daniele\AppData\Roaming\Desktopicon\config.ini
c:\windows\$NtUninstallKB34210$\1702567718\@
c:\windows\$NtUninstallKB34210$\1702567718\L\ogejidap
c:\windows\$NtUninstallKB34210$\1702567718\loader.tlb
c:\windows\$NtUninstallKB34210$\1702567718\U\@00000001
c:\windows\$NtUninstallKB34210$\1702567718\U\@000000c0
c:\windows\$NtUninstallKB34210$\1702567718\U\@000000cb
c:\windows\$NtUninstallKB34210$\1702567718\U\@000000cf
c:\windows\$NtUninstallKB34210$\1702567718\U\@80000000
c:\windows\$NtUninstallKB34210$\1702567718\U\@800000c0
c:\windows\$NtUninstallKB34210$\1702567718\U\@800000cb
c:\windows\$NtUninstallKB34210$\1702567718\U\@800000cf
c:\windows\$NtUninstallKB34210$\571826540
c:\windows\IsUn0407.exe
c:\windows\system32\ 
c:\windows\$NtUninstallKB34210$ . . . . Nicht in der Lage zu löschen
.
Infizierte Kopie von c:\program files\Avira\AntiVir Desktop\sched.exe wurde gefunden und desinfiziert 
Kopie von - c:\program files\Avira\AntiVir Desktop\  wurde wiederhergestellt 
.
c:\program files\Avira\AntiVir Desktop\avguard.exe . . . ist infiziert!!
c:\program files\Avira\AntiVir Desktop\avguard.exe . . . was deleted!! You should re-install the program it pertains to
.
Infizierte Kopie von c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Program Files!TOSHIBA!ConfigFree!CFSvcs.exe wurde wiederhergestellt 
.
Infizierte Kopie von c:\program files\Fighters\FighterSuiteService.exe wurde gefunden und desinfiziert 
Kopie von - c:\program files\Fighters\  wurde wiederhergestellt 
.
Infizierte Kopie von c:\program files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Program Files!TOSHIBA!TOSHIBA DVD PLAYER!TNaviSrv.exe wurde wiederhergestellt 
.
Infizierte Kopie von c:\windows\system32\TODDSrv.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Windows!System32!TODDSrv.exe wurde wiederhergestellt 
.
Infizierte Kopie von c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Program Files!TOSHIBA!Power Saver!TosCoSrv.exe wurde wiederhergestellt 
.
Infizierte Kopie von c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Program Files!TOSHIBA!SMARTLogService!TosIPCSrv.exe wurde wiederhergestellt 
.
Infizierte Kopie von c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Program Files!Common Files!Ulead Systems!DVD!ULCDRSvr.exe wurde wiederhergestellt 
.
Infizierte Kopie von c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\System32\DriverStore\FileRepository\lvpro5v.inf_e60d170f\UMVPFSrv.exe wurde wiederhergestellt 
.
Infizierte Kopie von c:\windows\system32\UAService7.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy3_!Windows!System32!UAService7.exe wurde wiederhergestellt 
.
Infizierte Kopie von c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Program Files!TOSHIBA!ConfigFree!CFSvcs.exe wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\TODDSrv.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Windows!System32!TODDSrv.exe wurde wiederhergestellt
Infizierte Kopie von c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Program Files!TOSHIBA!SMARTLogService!TosIPCSrv.exe wurde wiederhergestellt
Infizierte Kopie von c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy2_!Program Files!Common Files!Ulead Systems!DVD!ULCDRSvr.exe wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\UAService7.exe wurde gefunden und desinfiziert 
Kopie von - c:\combofix\HarddiskVolumeShadowCopy3_!Windows!System32!UAService7.exe wurde wiederhergestellt
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_657b1f26
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-09-23 bis 2011-10-23  ))))))))))))))))))))))))))))))
.
.
2011-10-23 16:13 . 2011-10-23 16:17	--------	d-----w-	c:\users\Daniele\AppData\Local\temp
2011-10-23 14:52 . 2011-10-23 14:52	--------	d-----w-	c:\programdata\clp
2011-10-23 14:51 . 2011-10-23 14:52	--------	d-----w-	c:\users\Daniele\AppData\Roaming\Fighters
2011-10-23 14:50 . 2011-10-23 14:50	--------	d-----w-	c:\program files\Common Files\Common Toolkit Suite
2011-10-23 14:50 . 2011-10-23 16:11	--------	d-----w-	c:\program files\Fighters
2011-10-23 14:50 . 2011-10-23 14:50	--------	d-----w-	c:\programdata\Common Toolkit Suite
2011-10-23 14:49 . 2011-10-23 14:51	--------	d-----w-	c:\programdata\Fighters
2011-10-23 00:12 . 2011-10-23 00:12	--------	d-----w-	c:\program files\ESET
2011-10-22 23:15 . 2011-10-22 23:15	--------	d-----w-	c:\users\Daniele\AppData\Roaming\Avira
2011-10-22 23:14 . 2011-10-11 13:00	74640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-10-22 23:14 . 2011-10-11 13:00	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2011-10-22 23:14 . 2011-10-11 13:00	134344	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-10-22 23:14 . 2011-10-22 23:14	--------	d-----w-	c:\programdata\Avira
2011-10-22 23:14 . 2011-10-22 23:14	--------	d-----w-	c:\program files\Avira
2011-10-22 22:10 . 2011-10-22 22:10	343	----a-w-	c:\programdata\1319321329.4720.bin
2011-10-22 22:10 . 2011-10-22 22:10	2815	----a-w-	c:\programdata\1319321329.4688.bin
2011-10-22 22:10 . 2011-10-22 22:10	1958	----a-w-	c:\programdata\1319321329.4652.bin
2011-10-22 22:08 . 2011-10-22 22:10	25657	----a-w-	c:\programdata\1319321329.3848.bin
2011-10-22 22:04 . 2011-10-22 22:04	65137	----a-w-	c:\programdata\1319321034.bdinstall.bin
2011-10-22 21:33 . 2011-10-22 21:33	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2011-10-22 21:26 . 2011-10-23 02:04	--------	d-sh--w-	c:\users\Daniele\AppData\Local\657b1f26
2011-10-22 21:13 . 1998-10-30 20:21	231936	----a-w-	c:\windows\system32\SNWValid.dll
2011-10-22 21:13 . 1998-10-30 20:21	1022976	----a-w-	c:\windows\system32\SierraNW.dll
2011-10-22 21:13 . 2011-10-22 21:15	--------	d-----w-	C:\SIERRA
2011-10-16 18:07 . 2011-10-16 18:07	161970	----a-w-	c:\programdata\1318787538.bdinstall.bin
2011-10-16 17:58 . 2009-07-14 17:45	445008	----a-w-	c:\windows\system32\drivers\Wdf01000.sys
2011-10-16 17:58 . 2009-07-14 17:45	38480	----a-w-	c:\windows\system32\drivers\WdfLdr.sys
2011-10-16 17:53 . 2011-10-16 17:53	--------	d-----w-	c:\users\Daniele\AppData\Roaming\QuickScan
2011-10-16 17:52 . 2011-10-23 07:13	--------	d-----w-	c:\program files\Bitdefender
2011-10-16 01:15 . 2011-10-23 07:59	--------	d-----w-	c:\users\Daniele\AppData\Roaming\QuickStoresToolbar
2011-10-16 01:05 . 2011-10-16 01:05	--------	d-----w-	c:\users\Daniele\AppData\Local\Eraser 6
2011-10-16 00:39 . 2011-10-16 00:39	--------	d-----w-	c:\program files\Eraser
2011-10-10 00:44 . 2011-10-10 00:44	--------	d-----w-	c:\program files\Intelore
2011-10-07 14:00 . 2011-10-07 14:00	10264	----a-w-	c:\windows\system32\drivers\avfsfilter.sys
2011-10-04 23:56 . 2011-10-04 23:56	--------	d-----w-	c:\program files\Terminal Reality
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-23 16:16 . 2011-10-23 16:16	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{BAA06986-9AA9-4CAF-A8E8-3CA84398730E}\offreg.dll
2011-10-07 03:48 . 2011-10-21 14:53	6668624	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{BAA06986-9AA9-4CAF-A8E8-3CA84398730E}\mpengine.dll
2011-09-21 13:56 . 2011-09-21 13:56	53248	----a-r-	c:\users\logitech\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2011-09-01 13:29 . 2011-09-01 13:29	62544	----a-w-	c:\windows\system32\drivers\bdsandbox.sys
2011-08-19 09:26 . 2011-08-19 09:26	545056	----a-w-	c:\windows\system32\LVUI2.dll
2011-08-19 09:26 . 2011-08-19 09:26	540960	----a-w-	c:\windows\system32\LVUI2RC.dll
2011-08-19 09:26 . 2011-08-19 09:26	4334624	----a-w-	c:\windows\system32\drivers\lvuvc.sys
2011-08-19 09:26 . 2011-08-19 09:26	315808	----a-w-	c:\windows\system32\drivers\lvrs.sys
2011-08-19 09:26 . 2011-08-19 09:26	307488	----a-w-	c:\windows\system32\lvcodec2.dll
2011-08-19 09:26 . 2011-08-19 09:26	196896	----a-w-	c:\windows\system32\lvci13301394.dll
2011-08-19 09:26 . 2011-08-19 09:26	22176	----a-w-	c:\windows\system32\drivers\lvbusflt.sys
2011-08-19 09:26 . 2011-08-19 09:26	336408	----a-w-	c:\windows\system32\DevManagerCore.dll
2011-08-19 09:26 . 2011-08-19 09:26	10898456	----a-w-	c:\windows\system32\LogiDPP.dll
2011-08-19 09:26 . 2011-08-19 09:26	104472	----a-w-	c:\windows\system32\LogiDPPApp.exe
2011-08-12 10:20 . 2011-08-12 10:20	15896	----a-w-	c:\windows\system32\drivers\iKeyLFT2.dll
2011-07-26 06:49 . 2011-07-26 06:49	38958	----a-w-	c:\windows\system32\Repository.reg
2011-03-18 17:56 . 2011-03-22 17:49	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
2010-07-22 02:18	115662325	--sh--w-	c:\windows\Sony_Vegas_8_Setup.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"= "c:\program files\vShare.tv plugin\BarLcher.dll" [2011-06-01 177712]
.
[HKEY_CLASSES_ROOT\clsid\{7ac3e13b-3bca-4158-b330-f66dbb03c1b5}]
[HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher.1]
[HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-05 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-05 129560]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-01-22 712704]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-10-28 7862816]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
c:\users\Daniele\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote Inhaltsverzeichnis.onetoc2 [2008-11-26 3656]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys [2011-10-07 10264]
R3 bdsandbox;bdsandbox;c:\windows\system32\drivers\bdsandbox.sys [2011-09-01 62544]
R3 CompFilter;UVCCompositeFilter;c:\windows\system32\DRIVERS\lvbusflt.sys [2011-08-19 22176]
R3 cpuz130;cpuz130; [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-11 36000]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2007-12-25 40960]
S3 avchv;avchv Function Driver;c:\windows\system32\DRIVERS\avchv.sys [2011-07-15 240184]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
.
Inhalt des "geplante Tasks" Ordners
.
2011-10-22 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-03-31 22:17]
.
2011-10-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-22 23:02]
.
2011-10-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-22 23:02]
.
2011-10-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-546451329-1789043549-4210829392-1000Core.job
- c:\users\Daniele\AppData\Local\Google\Update\GoogleUpdate.exe [2009-01-20 18:58]
.
2011-10-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-546451329-1789043549-4210829392-1000UA.job
- c:\users\Daniele\AppData\Local\Google\Update\GoogleUpdate.exe [2009-01-20 18:58]
.
2011-10-22 c:\windows\Tasks\User_Feed_Synchronization-{14C6C20B-1FFD-4C23-9894-33B28E92FEAA}.job
- c:\windows\system32\msfeedssync.exe [2011-06-16 04:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\Daniele\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Daniele\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 78.42.43.62 82.212.62.62
DPF: {C32FE9F1-A857-48B0-B7BF-065B5792F28D} - hxxp://94.125.79.44/activex/decoder/intel_mpeg4_dec.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://94.125.79.44/activex/AMC.cab
FF - ProfilePath - c:\users\Daniele\AppData\Roaming\Mozilla\Firefox\Profiles\38ztj38w.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2736476&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Web Search...
FF - prefs.js: browser.startup.homepage - hxxp://vshare.toolbarhome.com/?hp=df
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=toolbar2&q=
FF - prefs.js: network.proxy.http_port - 80
FF - prefs.js: network.proxy.type - 0
FF - user.js: network.proxy.type - 0
FF - user.js: network.proxy.http - 
user_pref(network.proxy.http_port,);
FF - user.js: network.proxy.no_proxies_on - 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
URLSearchHooks-{7e111a5c-3d11-4f56-9463-5310c3c69025} - (no file)
Toolbar-{7e111a5c-3d11-4f56-9463-5310c3c69025} - (no file)
Toolbar-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
WebBrowser-{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - (no file)
WebBrowser-{7E111A5C-3D11-4F56-9463-5310C3C69025} - (no file)
ShellIconOverlayIdentifiers-{152C96EB-288E-4EDC-B7C6-D21F8250ADF3} - c:\program files\Bitdefender\Bitdefender SafeBox\safeboxshell.dll
ShellIconOverlayIdentifiers-{342DAA0B-D796-460D-8566-901E08A1CCAD} - c:\program files\Bitdefender\Bitdefender SafeBox\safeboxshell.dll
ShellIconOverlayIdentifiers-{57595DAE-1AE1-4D97-A49E-67CBB53B52DF} - c:\program files\Bitdefender\Bitdefender SafeBox\safeboxshell.dll
ShellIconOverlayIdentifiers-{33816773-98AE-4723-ADE0-EBE54C8B5A67} - c:\program files\Bitdefender\Bitdefender SafeBox\safeboxshell.dll
AddRemove-Uniblue RegistryBooster - c:\programdata\{F03307B7-E779-4F5E-A32E-9A73D8D6E0F2}\rbia.exe
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{F03307B7-E779-4F5E-A32E-9A73D8D6E0F2}\rbia.exe
AddRemove-BitTorrent DNA - c:\users\Daniele\Program Files\DNA\btdna.exe
AddRemove-uTorrent - c:\program files\uTorrent\uTorrent.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-10-23 18:18
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\AV Engine Scanning Service]
"ImagePath"="C:/Program Files/Common Files/Common Toolkit Suite/AVEngine/AVScanningService.exe"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\AV Watch Service]
"ImagePath"="C:/Program Files/Common Files/Common Toolkit Suite/AVEngine/AVWatchService.exe"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\AV Engine Scanning Service]
"ImagePath"="C:/Program Files/Common Files/Common Toolkit Suite/AVEngine/AVScanningService.exe"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\AV Watch Service]
"ImagePath"="C:/Program Files/Common Files/Common Toolkit Suite/AVEngine/AVWatchService.exe"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD10\NavFilter\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-546451329-1789043549-4210829392-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:8b,ec,07,52,f0,7f,e3,12,a8,d8,b8,56,4d,2e,a2,28,a5,c0,1d,3c,d9,f8,15,
   c4,8c,55,ea,ff,1d,c0,5c,1c,03,54,7e,8b,2f,d7,6e,9d,27,0d,79,b9,87,f9,d8,3d,\
"??"=hex:a2,81,6e,ba,8e,1d,bd,9f,a4,c5,44,d4,ee,71,e7,36
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe
c:\program files\Common Files\Common Toolkit Suite\AVEngine\AVWatchService.exe
c:\program files\Fighters\FighterSuiteService.exe
c:\program files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\UAService7.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-10-23  18:26:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-10-23 16:25
.
Vor Suchlauf: 12 Verzeichnis(se), 20.434.243.584 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 27.953.197.056 Bytes frei
.
- - End Of File - - E250692CD508A106359693B741FD3CF4
         

--- --- ---

öffne arbeitsplatz bzw computer c: dort qoobox, rechtsklick quarantain, mit winrar oder zip packen, link folgen und im upload channel hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html

ok, hab ich gemacht. als ich den Quarantine folder angelickt habe kamen virenmeldungen. beim packen folgende winrar fehlermeldung.


! C:\Qoobox\Quarantine.zip: Konnte Quarantine\C\Windows\$NtUninstallKB34210$\571826540.vir nicht öffnen.
! Zugriff verweigert

habe aber eine zip die außer dieser ntuninstall alle enthält. lade sie jetzt hoch.

machst du mit diesem pc banking einkäufe oder sonst was wichtiges?

ja, online banking. email über web.de server. was hat den die analyse der quarantine zip ergeben? soll ich diesen ordner jetzt löschen? Ich hoffe mein pc ist wieder sauber. speedtests verhalten sich seltsam. es hängt erst 1-2 sec und geht dann hoch auf 70k obwohl ich nur 32k habe. gestern waren es auch schon über 40k.

also, du hast ein rootkit auf dem pc welches daten stiehlt.
1. rufe deine bank an, sperre sofort dein online banking.
falls die bank zu ist, notfall nummer:
116 116
erkläre ihnen das du das rootkit zero access bzw max++ auf dem pc hast.
2. bei diesen rootkits kann man nicht 100 %ig sicher sein dass wir das bereinigen können, und da du ja sicher nicht eines tages dein konto geplündert vor finden willst, ist jetzt daten sichern, formatieren und neu aufsetzen angesagt.
gesichert werden können bilder, dokumente, musik, vidios.
ich erkläre dir, falls nötig, wie man formatiert und gebe dir dann tipps, wie du das system richtig absicherst.
danach musst du alle passwörter endern.
auch zu sicherem onlinebanking werd ich noch 1 2 worte verlieren.

autsch. hört sich böse an. ich habe mein onlinebanking seit der infizierung nicht mehr benutzt, soll ich es trotzdem sperren? wegen der formatierung muss ich dann erstma eine neue festplatte besorgen, weil ich außer meinem laptop keine möglichkeit habe daten zu speichern.

hi, sicher ist sicher, lasse es sperren, das kostet ja nichts.
bei media markt etc gibts relativ günstig externe platten, für 60-70 €
ist sowieso immer gut externe speicher zu haben, falls deine interne platte mal kaputt ist, hast du deine daten noch ein zweites mal.

ok. hab ich gemacht. die leutz klingen mal voll automatisiert ^^ ich geh morgen mal nach einer externen schauen und meld mich dann wieder. danke für die hilfe.

:d
ok meld dich wenn du so weit bist!