| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GEMA Ukash TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.12.2011, 09:55
| #1 |
| |  GEMA Ukash Trojaner Moin, ich hab ein Rechner von einem Bekannten hier, der hat sich den GEMA Ukash Trojaner eingefangen. Der Rechner steht hier ohne Internetverbindung, aus diesem Grunde bekomme ich beim normalen Boot und auch im abgesicherten Modus nur ein grauen Hintergrund mit "Es besteht noch keine Internetverbindung, bitte warten". Ich hab hier allerdings ein Screenshot der mit die schöne Seite von dem Trojaner zeigt. Über Strg Alt Entf komme ich natürlich nicht weiter, Task Manager ist ausgegraut. Habt ihr da jetzt irgendeine Idee bezüglich einem Lösungsweg? Vielen Dank im voraus Derweil habe ich es nach dieser Anleitung probiert. hxxp://blog.botfrei.de/2011/11/gema-trojaner-unter-windows-xp-entfernen/ Das System startet jetzt auch schon wieder ins Windows, allerdings wird der Desktop noch nicht mit geladen. Ich habe zwar ein Hintergrund bild, aber keine Symbole oder Taskleiste, auch nicht nach entfernen der "NoDesktop" Einträge in der Registry. Geändert von Mudokon (05.12.2011 um 10:40 Uhr) |
|
05.12.2011, 10:40
| #2 |
  | GEMA Ukash Trojaner Hi,
__________________System mit OTL-PE scannen Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast. Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes. Lege eine leere CD in Deinen Brenner. ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen. Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed". Du kannst nun die Fenster des Brennprogramms schließen. Starte das unbootbare System neu und boote von der CD, die Du gerade erstellt hast. Anmerkung: Wenn Du nicht weißt, wie Du Deinen Computer dazu bringst, von CD zu booten, dann folge diesen Schritten hierInstallation: Wie boote ich Windows von der CD?. Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen. Mache einen Doppelklick auf das OTLPE Icon. Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes. Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes. Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK. OTLpe sollte nun starten.  Drücke Run Scan, um den Scan zu starten. Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt gesichert und mit Notepad++ geöffnet. Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast. Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt in diesen Thread. chris
__________________ |
|
05.12.2011, 11:09
| #3 |
| | GEMA Ukash Trojaner Ich kann leider kein Scan ausführen. CD erfolgreich gebrannt, booten von CD klappt auch so das ich REATOGO-X-PE Desktop habe.
__________________Allerdings wird meine eigentliche Festplatte nicht gefunden. Somit sagt mit OTL das keine Windows Installation vorhanden ist. |
|
05.12.2011, 11:17
| #4 |
| | GEMA Ukash Trojaner Hi, ist an dem Rechner was besonderes (RAID etc.)? Ist das BIOS richtig eingestellt? Hast Du eine Windows-CD (Reparaturinstallation)? Hmm, schon probiert in den abgesicherten Modus zu kommen? chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
05.12.2011, 11:34
| #5 |
| | GEMA Ukash Trojaner Auf dem System läuft ein RAID0. Habjetzt im BIOS schon einmal umgestellt auf RAID AHCI Modus, nun werden wenigstens removable Drives in Windows angezeigt. Allerdings kann ich nicht drauf zu greifen. Wenn es jetzt ein Raid1 wäre, wäre ja eine logische Vorgehensweise das RAID zu beenden, dann müsste ich ja 2 Platten haben mit exakt dem gleichen Inhalt. Aber wie sieht das aus wenn ich jetzt das Raid0 kille? Abgesicherter Modus mit Eingabeaufforderung funktioniert. Ich kann auch ins normale Windows booten und bekomme nicht mehr die Virenmeldung angezeigt,allerdings habe ich kein Desktop und keine Taskleiste, insofern gehe ich davon aus, dass das System noch nicht ganz sauber ist. |
|
05.12.2011, 11:43
| #6 |
| | GEMA Ukash Trojaner Hi, RAID 1 ist Datenspiegelung... Theoretisch sollte das tun, aber wir lassen da mal die Finger davon... Versuche im abgesicherten Modus aus der Commandline heraus den OTL zu starten (von CD bzw. den "normalen" auf USB-Sick kopieren und Stick schreibschützen. chris Ps.: Wenn das geht, können wir auch versuchen per Hand ein paar Reg.-Einträge zu manipulieren (Was für ein Windows?)
__________________ --> GEMA Ukash Trojaner |
|
05.12.2011, 12:30
| #7 |
| | GEMA Ukash Trojaner Das hat soweit funktioniert. Allerdings hab ich keine Extra.txt sondern nur die OTL.txt OTL Logfile: Code:
ATTFilter OTL logfile created on: 05.12.2011 12:23:20 - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = I:\PROGRAMS\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.022,00 Mb Total Physical Memory | 843,00 Mb Available Physical Memory | 82,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 98,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,65 Gb Total Space | 73,30 Gb Free Space | 75,07% Space Free | Partition Type: NTFS
Drive D: | 200,35 Gb Total Space | 185,04 Gb Free Space | 92,36% Space Free | Partition Type: NTFS
Drive I: | 436,59 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Computer Name: S-6C529A6886854 | User Name: Stephan
Boot Mode: SafeMode | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
========== Win32 Services (SafeList) ==========
SRV - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Auto] -- C:\Programme\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 7.0 OnlineUpdate)
SRV - [2011.06.29 14:59:18 | 000,155,344 | ---- | M] (Avanquest Software) [On_Demand] -- C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe -- (Sony Ericsson PCCompanion)
SRV - [2011.04.12 18:08:48 | 000,330,696 | ---- | M] () [Auto] -- C:\Programme\Verbindungsassistent\WTGService.exe -- (WTGService)
SRV - [2010.03.25 18:54:53 | 000,156,160 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\ddrsn1.3d3 -- (lanmanserver)
SRV - [2010.01.15 13:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand] -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2008.10.26 16:29:40 | 000,068,865 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe -- (AntiVirScheduler)
SRV - [2008.10.26 16:29:17 | 000,151,297 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe -- (AntiVirService)
SRV - [2005.10.05 00:00:30 | 000,090,112 | ---- | M] (Dell Inc.) [Auto] -- C:\Programme\Dell Printers\Additional Color Laser Software\Status Monitor\dlpwdnt.exe -- (DLPWD)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004.03.12 00:00:30 | 000,135,168 | ---- | M] (Dell Inc.) [Auto] -- C:\Programme\Dell Printers\Additional Color Laser Software\Status Monitor\dlsdbnt.exe -- (DLSDB)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | On_Demand] -- -- (NETFRITZ)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2009.12.29 19:23:50 | 000,025,512 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ggsemc.sys -- (ggsemc)
DRV - [2009.12.29 19:23:50 | 000,013,224 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ggflt.sys -- (ggflt)
DRV - [2009.05.29 11:09:53 | 000,075,096 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.05.29 11:07:56 | 000,052,056 | ---- | M] (Avira GmbH) [File_System | On_Demand] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys -- (avgntflt)
DRV - [2009.05.29 11:07:31 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys -- (avgio)
DRV - [2008.07.24 11:03:56 | 000,101,760 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2008.05.15 11:59:14 | 000,021,248 | ---- | M] (AVIRA GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 19:56:06 | 000,088,320 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2008.01.09 11:28:34 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\seehcri.sys -- (seehcri)
DRV - [2007.01.25 16:45:02 | 000,006,784 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\whfltr2k.sys -- (whfltr2k)
DRV - [2005.11.16 15:36:00 | 001,047,816 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
DRV - [2004.08.10 13:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2004.08.10 13:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2003.06.18 01:00:00 | 000,502,144 | ---- | M] (AVM Berlin) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fus2base.sys -- (FUS2BASE)
DRV - [2003.06.18 01:00:00 | 000,051,456 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2001.10.23 00:00:00 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\avmport.sys -- (AVMPORT)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1214440339-1417001333-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\S-1-5-21-1214440339-1417001333-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\fmdownloader@gmail.com: C:\Programme\Freemake\Freemake Video Downloader\BrowserPlugin\Firefox\ [2011.01.29 20:12:35 | 000,000,000 | ---D | M]
Hosts file not found
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7018.1622\swg.dll (Google Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [DLPSP] C:\programme\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE (Dell Inc.)
O4 - HKLM..\Run: [Google Quick Search Box] C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
O4 - HKLM..\Run: [IjmrHbDDJ3PyrXc] File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\WINDOWS\stsystra.exe (SigmaTel, Inc.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WheelMouse] C:\Advanced Wheel Mouse\wh_exec.exe ()
O4 - HKU\S-1-5-21-1214440339-1417001333-1801674531-1003..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe (Adobe Systems Incorporated)
O4 - HKU\S-1-5-21-1214440339-1417001333-1801674531-1003..\Run: [Sony Ericsson PC Companion] C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe (Sony Ericsson)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe (Corel Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Stephan\Startmenü\Programme\Autostart\PowerReg Scheduler V3.exe (Leader Technologies)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1214440339-1417001333-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - File not found
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197050649539 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\5suxrt589cxuftg.exe) - File not found
O20 - HKU\.DEFAULT Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-1214440339-1417001333-1801674531-1003 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O30 - LSA: Authentication Packages - (nwprovau) - C:\WINDOWS\System32\nwprovau.dll (Microsoft Corporation)
O31 - SafeBoot: UseAlternatShell - 1
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.12.06 20:02:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006.03.24 12:06:41 | 000,000,053 | R--- | M] () - I:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{025be844-faea-11de-887e-0013720d878a}\Shell - "" = AutoRun
O33 - MountPoints2\{025be844-faea-11de-887e-0013720d878a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{025be844-faea-11de-887e-0013720d878a}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{34a01f2c-f4ab-11de-8876-0013720d878a}\Shell - "" = AutoRun
O33 - MountPoints2\{34a01f2c-f4ab-11de-8876-0013720d878a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{34a01f2c-f4ab-11de-8876-0013720d878a}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{5758c128-f4a7-11de-8875-0013720d878a}\Shell - "" = AutoRun
O33 - MountPoints2\{5758c128-f4a7-11de-8875-0013720d878a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5758c128-f4a7-11de-8875-0013720d878a}\Shell\AutoRun\command - "" = L:\AutoRun.exe
O33 - MountPoints2\{b346d60e-6cb1-11de-877c-0013720d878a}\Shell - "" = AutoRun
O33 - MountPoints2\{b346d60e-6cb1-11de-877c-0013720d878a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b346d60e-6cb1-11de-877c-0013720d878a}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O33 - MountPoints2\{bb8eaf50-a433-11dc-b7e5-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{bb8eaf50-a433-11dc-b7e5-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bb8eaf50-a433-11dc-b7e5-806d6172696f}\Shell\AutoRun\command - "" = I:\Setup.exe
O33 - MountPoints2\{cc335ce3-2878-11e0-8a3b-0013720d878a}\Shell\AutoRun\command - "" = E:\autorun.exe
O33 - MountPoints2\{cd0cea2d-8eb6-11e0-8b00-0013720d878a}\Shell - "" = AutoRun
O33 - MountPoints2\{cd0cea2d-8eb6-11e0-8b00-0013720d878a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{cd0cea2d-8eb6-11e0-8b00-0013720d878a}\Shell\AutoRun\command - "" = E:\Startme.exe
O33 - MountPoints2\{dd323800-f566-11de-8878-0013720d878a}\Shell - "" = AutoRun
O33 - MountPoints2\{dd323800-f566-11de-8878-0013720d878a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{dd323800-f566-11de-8878-0013720d878a}\Shell\AutoRun\command - "" = K:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2011.12.05 09:44:49 | 000,021,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\hidserv.dll
[2011.12.05 07:07:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\CSC
[2011.12.04 19:07:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2011.12.04 19:07:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2011.11.22 19:23:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google-Schnellsuchfeld
[2011.11.20 12:46:11 | 000,000,000 | ---D | C] -- C:\EPLAN
[2011.11.14 12:29:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[2009.12.29 19:41:29 | 000,148,736 | ---- | C] (Avanquest Software) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpeAD.dll
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2011.12.05 12:20:24 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.05 11:36:27 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.12.04 19:45:30 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.12.04 18:27:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.12.04 09:56:31 | 000,039,472 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011.12.02 19:13:34 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.11.22 19:23:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google-Schnellsuchfeld
[2011.11.20 12:48:21 | 000,000,020 | ---- | M] () -- C:\WINDOWS\eplan.ini
[2011.11.15 07:03:51 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.11.14 12:29:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[2011.11.10 18:54:34 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\Stephan\Desktop\Microsoft Office Word 2003.lnk
[2011.11.09 19:08:40 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.11.07 08:41:05 | 000,000,880 | ---- | M] () -- C:\WINDOWS\Brpfx04a.ini
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
========== Files Created - No Company Name ==========
[2011.12.04 19:20:17 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.11.20 12:48:21 | 000,000,020 | ---- | C] () -- C:\WINDOWS\eplan.ini
[2010.09.30 18:09:28 | 000,000,331 | ---- | C] () -- C:\WINDOWS\transl2.ini
[2008.09.24 16:24:01 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2008.09.24 16:24:01 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2008.09.24 16:20:09 | 000,000,880 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2008.09.24 16:20:09 | 000,000,149 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2008.09.24 16:20:09 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf07a.dat
[2008.09.24 16:18:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat
[2008.09.24 16:14:52 | 000,031,664 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2007.12.22 19:05:08 | 000,035,840 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.12.17 17:31:04 | 000,000,810 | ---- | C] () -- C:\WINDOWS\Rtcw.INI
[2007.12.11 18:03:24 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PowerReg.dat
[2007.12.07 20:07:22 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.12.07 12:23:28 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\sh33w32.dll
[2007.12.07 12:23:05 | 000,039,095 | ---- | C] () -- C:\WINDOWS\iccsigs.dat
[2007.12.06 21:22:45 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.12.06 21:07:37 | 000,075,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\avipbb.sys
[2007.12.06 20:20:03 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2007.12.06 20:10:07 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.12.06 20:05:14 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2007.12.06 19:58:48 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007.12.06 19:53:59 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2007.12.06 19:53:08 | 000,283,720 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll
[2007.01.25 16:45:02 | 000,006,784 | ---- | C] () -- C:\WINDOWS\System32\drivers\whfltr2k.sys
[2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll
[2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll
[2005.08.05 14:26:04 | 000,235,008 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2005.07.22 21:39:40 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2005.07.22 21:39:40 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.10 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.10 13:00:00 | 000,506,172 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.10 13:00:00 | 000,484,538 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.10 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.10 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.10 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.10 13:00:00 | 000,096,154 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.10 13:00:00 | 000,080,552 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.10 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.10 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.10 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.10 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.10 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.10 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
========== LOP Check ==========
[2011.05.29 18:40:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\FRITZ!
[2009.04.28 11:51:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Image Zone Express
[2009.11.06 12:54:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\PC-FAX TX
[2009.04.28 11:51:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Printer Info Cache
[2011.01.25 12:57:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\RavensburgerTipToi
[2011.06.19 13:14:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\ScanSoft
[2008.09.21 12:19:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Sigel
[2009.12.29 19:42:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Sony
[2011.04.21 18:35:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Verbindungsassistent
[2011.04.07 11:06:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avanquest
[2010.11.21 13:11:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2011.01.25 12:56:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RavensburgerTipToi
[2008.09.24 16:14:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2008.12.14 10:05:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony
[2009.06.22 11:21:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 7.0
========== Purity Check ==========
< End of report >
|
|
05.12.2011, 13:38
| #8 |
| | GEMA Ukash Trojaner Hi, jetzt das gleiche nochmal, speichere vorher diese Script ebenfalls auf dem Stick und lasse es dann ausführen... Fix für OTL:
 Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [IjmrHbDDJ3PyrXc] File not found
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\5suxrt589cxuftg.exe) - File not found
:Commands
[emptytemp]
[Reboot]
Als Shell ist Ukash eingetragen, der ist gelöscht worden, daher läuft nix... Taskmanager müssen wir mal schauen, ein disable ist mir nicht aufgefallen, sobald der Rechern da ist (mit shell), bitte nochmal ein neues OTL-File posten... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.12.2011, 14:00
| #9 | |
| | GEMA Ukash TrojanerZitat:
|
|
05.12.2011, 14:25
| #10 |
| | GEMA Ukash Trojaner Hi, ok, bitte zur Sicherheit noch ein vollständige OTL-Log und noch ein Scan mit MAM... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.12.2011, 15:36
| #11 | |
| | GEMA Ukash Trojaner Hier das Log von MAM Zitat:
|
|
05.12.2011, 20:14
| #12 |
| | GEMA Ukash Trojaner Hi, Hmmm... zur Sicherheit noch auf Rootkit prüfen... TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
06.12.2011, 07:52
| #13 | |
| | GEMA Ukash Trojaner Ich würde sagen "wir" haben es geschafft  Vielen Dank dafür. Zitat:
|
|
06.12.2011, 08:38
| #14 |
| | GEMA Ukash Trojaner Hi, ok... chris & out
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu GEMA Ukash Trojaner |
| abgesicherte, abgesicherten, bekannte, bezüglich, bitte warten, boot, graue, grauen, hintergrund, inter, interne, internetverbindung, keine internetverbindung, manager, modus, natürlich, normale, normalen, ohne internetverbindung, rechner, schöne, screenshot, seite, strg, task manager, troja, trojane, trojaner, ukash trojaner, verbindung |
Linear-Darstellung
