|
Plagegeister aller Art und deren Bekämpfung: Trojan.Generic in Dateien acroFF.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.11.2011, 21:34 | #1 |
| Trojan.Generic in Dateien acroFF.dll Hallo Leute, Ich habe mit GData mein System(Windows 7) gescannt und habe gemeldet bekommen, dass ich 6 Trojaner des Typs "Trojan.Generic" habe. Alle diese Trojaner befinden sich bei mir im selben Verzeichnis: C://User/AppData/Roaming und alle Trojaner befinden sich in Dateien mit dem Namen acroFF.dll (und nach dem FF kommen irgendwelche Zahlen). Ich denke, dass mir nichts anderes übrig bleibt, als die Festplatte zu formatieren. Meine Fragen sind jetzt: 1) Kennt jemand diese Arten von Trojaner und hat eine Vermutung woher diese stammen könnten? 2) Was kann ich machen, damit ich in Zukunft von solchen Schadprogrammen verschont bleibe. Ich benutzt ja schon GData und mache regelmäßig alle Formen von Updates und trotzdem wurde mein System infiziert. 3) Ich würde gerne noch einige Datein von meinem infizierten System retten um sie dann auf dem neu aufgelegten System zu verwenden. Gibt es irgendwelche Möglichkeiten damit ich garantieren kann, dass diese Dateien dann nicht infiziert sind. Es wäre sehr hilfreich, wenn mir jemand weiterhelfen könnte. |
23.11.2011, 10:11 | #2 |
| Trojan.Generic in Dateien acroFF.dll Könnte mir bitte jemand weiterhelfen, insbesondere bei Punkt 3)
__________________"Ich würde gerne noch einige Datein von meinem infizierten System retten um sie dann auf dem neu aufgelegten System zu verwenden. Gibt es irgendwelche Möglichkeiten damit ich garantieren kann, dass diese Dateien dann nicht infiziert sind." PS:Sorry, dass ich so aufdringlich bin, aber ich habe es sehr eilig, da ich eine Präsentation erstellen muss für meine Diplomarbeit. |
23.11.2011, 12:30 | #3 |
/// Malware-holic | Trojan.Generic in Dateien acroFF.dll hi,
__________________1. bist du hier nicht der einzige also bitte mit der ruhe. 2. zeige ich dir wie du das system vernünftig absicherst aber ich hätte gern vorher nen auge drauf geworfen. dauert nicht lange Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
__________________ |
23.11.2011, 16:18 | #4 |
| Trojan.Generic in Dateien acroFF.dll Hi, Ich habe das so durchgeführt wie geschieldert, jedoch wurde nur 1 Datei erstellt und nicht wie angegeben 2. Hier ist der Inhalt der Datei:OTL Logfile: Code:
ATTFilter OTL logfile created on: 23.11.2011 16:11:12 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\T.D\Downloads 64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,99 Gb Total Physical Memory | 2,40 Gb Available Physical Memory | 60,18% Memory free 7,98 Gb Paging File | 6,30 Gb Available in Paging File | 78,88% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 443,13 Gb Total Space | 381,88 Gb Free Space | 86,18% Space Free | Partition Type: NTFS Drive D: | 488,28 Gb Total Space | 488,18 Gb Free Space | 99,98% Space Free | Partition Type: NTFS Computer Name: I7 | User Name: T.D | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\T.D\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation) PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation) PRC - C:\Program Files (x86)\Juniper Networks\Common Files\dsNcService.exe (Juniper Networks) PRC - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated) PRC - C:\Programme\Secunia\PSI\psia.exe (Secunia) PRC - C:\Programme\Secunia\PSI\psi_tray.exe (Secunia) PRC - C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe (G Data Software AG) PRC - C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe (G Data Software AG) PRC - C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe (G Data Software AG) PRC - C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe (G Data Software AG) ========== Modules (No Company Name) ========== MOD - C:\Programme\Mozilla Firefox\mozjs.dll () MOD - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\Nv3DVStreaming.dll () ========== Win32 Services (SafeList) ========== SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation) SRV - (nvUpdatusService) -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation) SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation) SRV - (dsNcService) -- C:\Program Files (x86)\Juniper Networks\Common Files\dsNcService.exe (Juniper Networks) SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated) SRV - (Secunia PSI Agent) -- C:\Programme\Secunia\PSI\PSIA.exe (Secunia) SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (AVKProxy) -- C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe (G Data Software AG) SRV - (GDScan) -- C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe (G Data Software AG) SRV - (AVKWCtl) -- C:\Programme\G DATA\InternetSecurity\AVK\AVKWCtlX64.exe (G Data Software AG) SRV - (AVKService) -- C:\Programme\G DATA\InternetSecurity\AVK\AVKService.exe (G Data Software AG) SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation) SRV - (Microsoft Office Groove Audit Service) -- C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV:64bit: - (GDMnIcpt) -- C:\Windows\SysNative\drivers\MiniIcpt.sys (G Data Software AG) DRV:64bit: - (HookCentre) -- C:\Windows\SysNative\drivers\HookCentre.sys (G Data Software AG) DRV:64bit: - (gdwfpcd) -- C:\Windows\SysNative\drivers\gdwfpcd64.sys (G DATA Software AG) DRV:64bit: - (GDBehave) -- C:\Windows\SysNative\drivers\GDBehave.sys (G Data Software AG) DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek ) DRV:64bit: - (NVHDA) -- C:\Windows\SysNative\drivers\nvhda64v.sys (NVIDIA Corporation) DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices) DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices) DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company) DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation) DRV:64bit: - (PSI) -- C:\Windows\SysNative\drivers\psi_mf.sys (Secunia) DRV:64bit: - (dsNcAdpt) -- C:\Windows\SysNative\drivers\dsNcAdpt.sys (Juniper Networks) DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.) DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation) DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology) DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation) DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation) DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation) DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.) DRV:64bit: - (GearAspiWDM) -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys (GEAR Software Inc.) DRV:64bit: - (cmuda3) -- C:\Windows\SysNative\drivers\cmudax3.sys (C-Media Inc) DRV - (GRD) -- C:\Windows\SysWOW64\drivers\GRD.sys (G Data Software) DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://vpn.kit.edu/dana-na/auth/url_default/welcome.cgi IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B0 AC 2B 9A EA 94 CC 01 [binary data] IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "www.google.de" FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation) FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\Users\T.D\AppData\Roaming\5041 [2011.11.17 01:18:57 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.10 17:15:37 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.14 11:57:52 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.10 17:15:37 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.14 11:57:52 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.10 17:15:37 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.14 11:57:52 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.10 17:15:37 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.14 11:57:52 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.10 17:15:37 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.14 11:57:52 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\Users\T.D\AppData\Roaming\5041 [2011.11.17 01:18:57 | 000,000,000 | ---D | M] [2011.08.20 00:17:36 | 000,000,000 | ---D | M] (No name found) -- C:\Users\T.D\AppData\Roaming\mozilla\Extensions [2011.11.17 01:18:20 | 000,000,000 | ---D | M] (No name found) -- C:\Users\T.D\AppData\Roaming\mozilla\Firefox\Profiles\b5f9b3lb.default\extensions [2011.08.20 00:45:50 | 000,000,000 | ---D | M] (G Data WebFilter) -- C:\PROGRAMME\MOZILLA FIREFOX\EXTENSIONS\{9AA46F4F-4DC7-4C06-97AF-5035170633FE} () (No name found) -- C:\USERS\T.D\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\B5F9B3LB.DEFAULT\EXTENSIONS\ASNUMBER@NETWORX.CH.XPI O1 HOSTS File: ([2011.10.30 20:15:07 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2:64bit: - BHO: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIEx64.dll (G Data Software AG) O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) O2 - BHO: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll (G Data Software AG) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O3:64bit: - HKLM\..\Toolbar: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIEx64.dll (G Data Software AG) O3 - HKLM\..\Toolbar: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll (G Data Software AG) O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\InternetSecurity\AVKTray\AVKTray.exe (G Data Software AG) O4 - HKLM..\Run: [GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 10.1.0) O16 - DPF: {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} https://juniper.net/dana-cached/setup/JuniperSetupSP1.cab (JuniperSetupControlXP Class) O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://juniper.net/dana-cached/sc/JuniperSetupClient.cab (JuniperSetupClientControl Class) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2B78A348-9EB2-49D7-9C5D-D999E02789D8}: DhcpNameServer = 192.168.2.1 O18:64bit: - Protocol\Handler\grooveLocalGWS - No CLSID value found O18:64bit: - Protocol\Handler\ms-help - No CLSID value found O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (c:\programme\g data\internetsecurity\avkkid\avkcks.exe) - c:\Programme\g data\InternetSecurity\AVKKid\AvkCKS.exe () O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKLM Winlogon: Shell - (explorer.exe) -C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exeC:\Users\T.D\AppData\Roaming\appconf32.exe) - File not found O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.11.17 01:19:03 | 000,277,456 | ---- | C] (Adobe Systems, Incorporated) -- C:\Users\T.D\AppData\Roaming\AcroIEHelpe.dll [2011.11.17 01:18:57 | 000,000,000 | ---D | C] -- C:\Users\T.D\AppData\Roaming\5041 [2011.11.17 01:18:46 | 000,000,000 | ---D | C] -- C:\Users\T.D\AppData\Roaming\xmldm [2011.11.17 01:18:44 | 000,000,000 | ---D | C] -- C:\Users\T.D\AppData\Roaming\kock [2011.11.14 12:06:14 | 000,252,296 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\javaws.exe [2011.11.14 12:06:14 | 000,188,808 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\javaw.exe [2011.11.14 12:06:14 | 000,188,808 | ---- | C] (Oracle Corporation) -- C:\Windows\SysNative\java.exe [2011.11.14 12:01:56 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011.11.14 11:58:07 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Java [2011.11.14 11:57:52 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysWow64\javaws.exe [2011.11.14 11:57:52 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysWow64\javaw.exe [2011.11.14 11:57:52 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\SysWow64\java.exe [2011.11.09 20:58:53 | 000,000,000 | ---D | C] -- C:\Users\T.D\AppData\Local\Google [2011.10.28 08:55:52 | 000,000,000 | ---D | C] -- C:\Users\T.D\AppData\Roaming\Apple Computer [2011.10.27 11:35:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime [2011.10.27 11:35:31 | 000,000,000 | ---D | C] -- C:\Program Files\QuickTime [2011.10.27 11:35:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple Computer [1 C:\Users\T.D\AppData\Roaming\*.tmp files -> C:\Users\T.D\AppData\Roaming\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.11.23 16:10:32 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2011.11.23 16:10:32 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2011.11.23 16:10:32 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2011.11.23 16:10:32 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2011.11.23 16:10:32 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2011.11.23 16:09:28 | 000,000,542 | ---- | M] () -- C:\Windows\tasks\MATLAB R2011b Startup Accelerator.job [2011.11.23 16:06:11 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.11.23 16:06:07 | 3214,237,696 | -HS- | M] () -- C:\hiberfil.sys [2011.11.23 10:15:19 | 000,015,280 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2011.11.23 10:15:19 | 000,015,280 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2011.11.23 00:27:04 | 000,106,224 | ---- | M] (G Data Software) -- C:\Windows\SysWow64\drivers\GRD.sys [2011.11.17 01:29:46 | 000,000,126 | ---- | M] () -- C:\Users\T.D\AppData\Roaming\blckdom.res [2011.11.17 01:19:03 | 000,277,456 | ---- | M] (Adobe Systems, Incorporated) -- C:\Users\T.D\AppData\Roaming\AcroIEHelpe.dll [2011.11.14 12:06:02 | 000,627,600 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\deployJava1.dll [2011.11.14 12:06:02 | 000,252,296 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaws.exe [2011.11.14 12:06:02 | 000,188,808 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\javaw.exe [2011.11.14 12:06:02 | 000,188,808 | ---- | M] (Oracle Corporation) -- C:\Windows\SysNative\java.exe [2011.11.14 11:59:00 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl [2011.11.10 08:03:04 | 000,412,920 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT [2011.10.24 17:49:54 | 000,001,295 | ---- | M] () -- C:\Users\T.D\Desktop\MATLAB.lnk [1 C:\Users\T.D\AppData\Roaming\*.tmp files -> C:\Users\T.D\AppData\Roaming\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.11.17 01:18:52 | 000,000,126 | ---- | C] () -- C:\Users\T.D\AppData\Roaming\blckdom.res [2011.10.24 17:49:54 | 000,001,295 | ---- | C] () -- C:\Users\T.D\Desktop\MATLAB.lnk [2011.08.19 23:40:16 | 000,065,536 | ---- | C] () -- C:\Windows\SysWow64\VMix.dll [2011.08.19 23:39:56 | 000,000,501 | ---- | C] () -- C:\Windows\Cmicnfg3.ini.imi [2011.08.03 02:31:54 | 000,311,912 | ---- | C] () -- C:\Windows\SysWow64\nvStreaming.exe [2009.07.14 06:38:36 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2009.07.14 03:35:51 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT [2009.07.14 03:34:42 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat [2009.07.14 01:10:29 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin [2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll [2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll [2009.06.10 22:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat [2007.04.13 12:52:38 | 000,000,727 | R--- | C] () -- C:\Windows\cmudax3.ini < End of report > |
23.11.2011, 16:32 | #5 |
/// Malware-holic | Trojan.Generic in Dateien acroFF.dll hiho möchte mir noch n paar dateien hohlen um sie an av-hersteller einzusenden achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL [2011.11.17 01:19:03 | 000,277,456 | ---- | C] (Adobe Systems, Incorporated) -- C:\Users\T.D\AppData\Roaming\AcroIEHelpe.dll [2011.11.17 01:18:57 | 000,000,000 | ---D | C] -- C:\Users\T.D\AppData\Roaming\5041 [2011.11.17 01:18:46 | 000,000,000 | ---D | C] -- C:\Users\T.D\AppData\Roaming\xmldm [2011.11.17 01:18:44 | 000,000,000 | ---D | C] -- C:\Users\T.D\AppData\Roaming\kock :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne computer, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. folge dem link, und lade das archiv im upload channel hoch http://www.trojaner-board.de/54791-a...ner-board.html
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.11.2011, 16:40 | #6 |
| Trojan.Generic in Dateien acroFF.dll Hallo, Ich bin gerade dabei das zu machen was beschrieben worden ist. Ich habe jedoch jetzt auch noch die 2.Textdatei vom ersten Scan gefunden. Soll ich diese auch noch hochladen? |
23.11.2011, 16:41 | #7 |
/// Malware-holic | Trojan.Generic in Dateien acroFF.dll nein danke :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.11.2011, 16:47 | #8 |
| Trojan.Generic in Dateien acroFF.dll Hier ist das gewünschte Textdokument. Die anderen Dateien habe ich jetzt auch hochgeladen |
23.11.2011, 16:55 | #9 |
/// Malware-holic | Trojan.Generic in Dateien acroFF.dll ok beginne jetzt mit der datensicherung bitte. sie ist gefahrlos möglich. sichere bilder dokumente (persönliches)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.11.2011, 17:09 | #10 |
| Trojan.Generic in Dateien acroFF.dll Kann ich einfach jetzt die Daten auf einen USB-Stick kopieren? Ich habe desöfteren auch mal Dateien vom verseuchten System auf den USB Stick geladen. Kann das ein Problem sein? |
23.11.2011, 17:17 | #11 |
/// Malware-holic | Trojan.Generic in Dateien acroFF.dll wir können, wenn das neue system abgesichert ist, den usb stick noch prüfen. ich zeige dir gern wie man das neue system vernünftig absichert wenn du zeit und lust hast :-) ist zwar einiges an arbeit aber denke es lohnt sich
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.11.2011, 17:22 | #12 |
| Trojan.Generic in Dateien acroFF.dll Okay, vielen Dank für deine Bemühungen. Also was soll ich jetzt konkret mache: Etwa die zu sichernden Daten auf den USB Stick kopieren(obwohl es sein kann, dass dieser verseucht ist). Kann ich mir denn ganz sicher sein, dass die Dateien, die ich jetzt sichern will, auch keine Schadprogramme enthalten. |
23.11.2011, 17:27 | #13 |
/// Malware-holic | Trojan.Generic in Dateien acroFF.dll ich hab ja gesagt nur bilder dokumente (persönliches) und das prüfen wir dann wenn der pc abgesichert ist noch mal befor es aufs system kommt
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.11.2011, 17:49 | #14 |
| Trojan.Generic in Dateien acroFF.dll Okay ich habe jetzt einiges auf DVD gesichert und einiges auf den USB-Stick. |
23.11.2011, 18:40 | #15 |
/// Malware-holic | Trojan.Generic in Dateien acroFF.dll ok nutzt du ne windows cd, recovery cd oder recovery partition, falls letzteres teile mir mit von welchem hersteller und typ dein gerät ist
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu Trojan.Generic in Dateien acroFF.dll |
anderes, befinden, dateien, festplatte, frage, fragen, gdata, hilfreich, infizierte, leute, namen, neu, nichts, platte, retten, schadprogramme, system, trojan.generic, trojaner, updates, verzeichnis, windows, windows 7, übrig, zahlen, zukunft |