Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: 50 € Trojaner bitte um Hilfe Files sind hinterlegt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 01.01.2012, 18:09   #1
Neuss2002
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Beitrag

50 € Trojaner bitte um Hilfe Files sind hinterlegt



Hallo,

hier die Files. Ich habe, wie so einige Leute hier diesen Trojaner mit der Fahne und der 50 € aufforderung. Könnt ihr mir helfen?

Windows Vista.

Danke für die Hilfe!!!

Alt 02.01.2012, 16:18   #2
markusg
/// Malware-holic
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
F3 - HKCU WinNT: Load - (C:\Users\Norbert\AppData\Roaming\DAFCE\lvvm.exe) -C:\Users\Norbert\AppData\Roaming\DAFCE\lvvm.exe ()
O4 - HKCU..\Run: [Microsoft® Windows Manager] C:\Users\Norbert\M-1-25-5432-6437-5685\winmgr.exe ()
O4 - HKCU..\Run: [iexploer.exe] C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\iexploer.exe ()
O4 - HKCU..\Run: [B24.exe] C:\Users\Norbert\AppData\Roaming\Microsoft\79DB\B24.exe ()
O4 - HKLM..\Run: [B24.exe] C:\Programme\LP\79DB\B24.exe ()
PRC - C:\Users\Norbert\AppData\Roaming\DAFCE\lvvm.exe ()
PRC - C:\Users\Norbert\AppData\Roaming\Microsoft\79DB\B24.exe ()
PRC - C:\Users\Norbert\AppData\Roaming\BE0DA\C4C79.exe ()
PRC - C:\Users\Norbert\M-1-25-5432-6437-5685\winmgr.exe ()
MOD - C:\Users\Norbert\AppData\Roaming\DAFCE\lvvm.exe ()
MOD - C:\Users\Norbert\AppData\Roaming\Microsoft\79DB\B24.exe ()
MOD - C:\Users\Norbert\AppData\Roaming\BE0DA\C4C79.exe ()
MOD - C:\Users\Norbert\M-1-25-5432-6437-5685\winmgr.exe ()
O20 - HKCU Winlogon: Shell - (C:\Users\Norbert\AppData\Roaming\BE0DA\C4C79.exe) -C:\Users\Norbert\AppData\Roaming\BE0DA\C4C79.exe ()
O33 - MountPoints2\{38accc3e-898b-11df-9d80-001b24c4c79d}\Shell\AutoRun\command - "" = dolly\\bejbe.exe
O33 - MountPoints2\{38accc3e-898b-11df-9d80-001b24c4c79d}\Shell\explore\command - "" = dolly\bejbe.exe
O33 - MountPoints2\{38accc3e-898b-11df-9d80-001b24c4c79d}\Shell\install\command - "" = dolly\bejbe.exe
O33 - MountPoints2\{38accc3e-898b-11df-9d80-001b24c4c79d}\Shell\open\command - "" = dolly\bejbe.exe
O33 - MountPoints2\{c5b28900-c727-11df-a380-001b24c4c79d}\Shell - "" = AutoRun
O33 - MountPoints2\{c5b28900-c727-11df-a380-001b24c4c79d}\Shell\AutoRun\command - "" = "H:\WD SmartWare.exe" autoplay=true
O33 - MountPoints2\{df368005-c594-11de-9a52-001b24c4c79d}\Shell\AutoRun\command - "" = F:\ -- File not found
O33 - MountPoints2\{df368005-c594-11de-9a52-001b24c4c79d}\Shell\open\Command - "" = rundll32.exe .\desktop.dll,InstallM
[2011.12.28 13:15:30 | 000,000,000 | ---D | C] -- C:\Program Files\DAFCE
[2011.12.28 13:14:55 | 000,000,000 | ---D | C] -- C:\Program Files\LP
[2011.12.28 13:14:55 | 000,000,000 | ---D | C] -- C:\Users\Norbert\AppData\Roaming\BE0DA
 :Files
C:\Users\Norbert\AppData\Roaming\DAFCE
C:\Users\Norbert\M-1-25-5432-6437-5685
C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\iexploer.exe
C:\Users\Norbert\AppData\Roaming\Microsoft\79DB
C:\Users\Norbert\AppData\Roaming\BE0DA
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne internet explorer, extras, internet optionen, verbindung lanverbindung.
eintrag bei proxy löschen, haken bei proxy verwenden raus, übernehmen ok
öffne firefox, extras einstellung erweitert, netzwerk.
dort eintrag bei proxy löschen und keinen proxy verwenden auswählen, übernehmen ok
browser schließen, neu öffnen.
öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html
__________________

__________________

Alt 13.01.2012, 17:38   #3
Neuss2002
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



Hallo,

das ganze habe ich nun erledigt. Hier der File....

All processes killed
========== OTL ==========
File \Users\Norbert\AppData\Roaming\DAFCE\lvvm.exe) -C:\Users\Norbert\AppData\Roaming\DAFCE\lvvm.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\Users\Norbert\AppData\Roaming\DAFCE\lvvm.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft® Windows Manager deleted successfully.
C:\Users\Norbert\M-1-25-5432-6437-5685\winmgr.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\iexploer.exe deleted successfully.
C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\iexploer.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\B24.exe deleted successfully.
C:\Users\Norbert\AppData\Roaming\Microsoft\79DB\B24.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\B24.exe deleted successfully.
C:\Programme\LP\79DB\B24.exe moved successfully.
No active process named lvvm.exe was found!
No active process named B24.exe was found!
No active process named C4C79.exe was found!
No active process named winmgr.exe was found!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\Norbert\AppData\Roaming\BE0DA\C4C79.exe deleted successfully.
File \Users\Norbert\AppData\Roaming\BE0DA\C4C79.exe) -C:\Users\Norbert\AppData\Roaming\BE0DA\C4C79.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38accc3e-898b-11df-9d80-001b24c4c79d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38accc3e-898b-11df-9d80-001b24c4c79d}\ not found.
File dolly\\bejbe.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38accc3e-898b-11df-9d80-001b24c4c79d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38accc3e-898b-11df-9d80-001b24c4c79d}\ not found.
File dolly\bejbe.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38accc3e-898b-11df-9d80-001b24c4c79d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38accc3e-898b-11df-9d80-001b24c4c79d}\ not found.
File dolly\bejbe.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{38accc3e-898b-11df-9d80-001b24c4c79d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{38accc3e-898b-11df-9d80-001b24c4c79d}\ not found.
File dolly\bejbe.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c5b28900-c727-11df-a380-001b24c4c79d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c5b28900-c727-11df-a380-001b24c4c79d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c5b28900-c727-11df-a380-001b24c4c79d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c5b28900-c727-11df-a380-001b24c4c79d}\ not found.
File "H:\WD SmartWare.exe" autoplay=true not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{df368005-c594-11de-9a52-001b24c4c79d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{df368005-c594-11de-9a52-001b24c4c79d}\ not found.
File F:\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{df368005-c594-11de-9a52-001b24c4c79d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{df368005-c594-11de-9a52-001b24c4c79d}\ not found.
File rundll32.exe .\desktop.dll,InstallM not found.
C:\Program Files\DAFCE folder moved successfully.
C:\Program Files\LP\E94B folder moved successfully.
C:\Program Files\LP\79DB folder moved successfully.
C:\Program Files\LP folder moved successfully.
C:\Users\Norbert\AppData\Roaming\BE0DA folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Norbert
->Flash cache emptied: 3781 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Norbert
->Temp folder emptied: 20053674 bytes
->Temporary Internet Files folder emptied: 112094 bytes
->FireFox cache emptied: 50644819 bytes
->Google Chrome cache emptied: 18240256 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 136492919 bytes
RecycleBin emptied: 71032077 bytes

Total Files Cleaned = 283,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 01132012_172358

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
__________________

Alt 13.01.2012, 18:17   #4
markusg
/// Malware-holic
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



du hast alles erledigt?
wo ist dann der upload um den ich gebeten habe?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.01.2012, 17:55   #5
Neuss2002
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



Erledigt....die datei ist nun im Upload....


Alt 18.01.2012, 18:06   #6
markusg
/// Malware-holic
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



danke
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
--> 50 € Trojaner bitte um Hilfe Files sind hinterlegt

Alt 18.01.2012, 22:23   #7
Neuss2002
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Beitrag

50 € Trojaner bitte um Hilfe Files sind hinterlegt



Combofix Logfile:
Code:
ATTFilter
ComboFix 12-01-18.04 - Norbert 18.01.2012  21:25:26.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.1982.843 [GMT 1:00]
ausgeführt von:: c:\users\Norbert\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-12-18 bis 2012-01-18  ))))))))))))))))))))))))))))))
.
.
2012-01-18 20:36 . 2012-01-18 20:37	--------	d-----w-	c:\users\Norbert\AppData\Local\temp
2012-01-18 20:36 . 2012-01-18 20:36	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-01-18 16:31 . 2012-01-18 16:31	--------	d-----w-	c:\programdata\WindowsSearch
2012-01-13 16:33 . 2011-12-01 15:21	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2012-01-13 16:33 . 2011-10-25 15:58	1314816	----a-w-	c:\windows\system32\quartz.dll
2012-01-13 16:33 . 2011-10-25 15:58	497152	----a-w-	c:\windows\system32\qdvd.dll
2012-01-13 16:33 . 2011-11-25 15:59	376320	----a-w-	c:\windows\system32\winsrv.dll
2012-01-13 16:33 . 2011-10-14 16:03	189952	----a-w-	c:\windows\system32\winmm.dll
2012-01-13 16:33 . 2011-10-14 16:00	23552	----a-w-	c:\windows\system32\mciseq.dll
2012-01-13 16:33 . 2011-11-18 20:23	1205064	----a-w-	c:\windows\system32\ntdll.dll
2012-01-13 16:33 . 2011-11-18 17:47	66560	----a-w-	c:\windows\system32\packager.dll
2011-12-28 12:14 . 2012-01-13 16:23	--------	d-sh--r-	c:\users\Norbert\M-1-25-5432-6437-5685
2011-12-27 07:30 . 2011-11-21 10:47	6823496	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{CA5A9E3C-6303-46A4-A4F0-0D73B667720C}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-14 12:09 . 2011-12-14 12:09	1207568	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2011-12-10 14:24 . 2010-09-22 20:30	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-11-23 13:37 . 2011-12-15 19:07	2043904	----a-w-	c:\windows\system32\win32k.sys
2011-11-08 14:42 . 2011-12-15 19:07	2048	----a-w-	c:\windows\system32\tzres.dll
2011-11-04 14:54 . 2011-12-15 19:07	1383424	----a-w-	c:\windows\system32\mshtml.tlb
2011-10-27 08:01 . 2011-12-15 19:07	3602816	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-10-27 08:01 . 2011-12-15 19:07	3550080	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-10-25 15:56 . 2011-12-15 19:07	49152	----a-w-	c:\windows\system32\csrsrv.dll
2011-11-10 13:40 . 2011-10-09 16:05	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\prxtbMyA0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
2011-05-09 09:49	176936	----a-w-	c:\program files\MyAshampoo\prxtbMyA0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\prxtbMyA0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}"= "c:\program files\MyAshampoo\prxtbMyA0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-04 13556256]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-04 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3246748724-2846338294-3741642108-1000]
"EnableNotificationsRef"=dword:00000001
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-18 20:48]
.
2012-01-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-18 20:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://plasmoo.com
uInternet Settings,ProxyServer = http=127.0.0.1:50889
IE: Free YouTube to Mp3 Converter - c:\users\Norbert\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Norbert\AppData\Roaming\Mozilla\Firefox\Profiles\5s4w89c0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://plasmoo.com/index.htm?SearchMashine=true&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://plasmoo.com/index.htm?SearchMashine=true&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 50889
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-18 21:37
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2012-01-18  22:09:27
ComboFix-quarantined-files.txt  2012-01-18 21:09
ComboFix2.txt  2012-01-18 18:15
.
Vor Suchlauf: 11 Verzeichnis(se), 23.311.904.768 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 23.290.978.304 Bytes frei
.
- - End Of File - - 9A102CEF2A4CC60F0779549EB040E7E0
         
--- --- ---

Alt 19.01.2012, 12:19   #8
markusg
/// Malware-holic
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



start programme zubehör editor rein kopieren:

killall::
Folder::
c:\users\Norbert\M-1-25-5432-6437-5685

datei speichern unter, ort, dort wo sich combofix.exe befindet,
typ alle dateien, name:
cfscript.txt
ziehe cfscript auf combofix, programm startet log posten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.01.2012, 22:33   #9
Neuss2002
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



Combofix Logfile:
Code:
ATTFilter
ComboFix 12-01-19.01 - Norbert 19.01.2012  17:42:03.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.1982.1069 [GMT 1:00]
ausgeführt von:: c:\users\Norbert\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Norbert\Desktop\cfscript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Norbert\M-1-25-5432-6437-5685
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-12-19 bis 2012-01-19  ))))))))))))))))))))))))))))))
.
.
2012-01-19 16:54 . 2012-01-19 16:59	--------	d-----w-	c:\users\Norbert\AppData\Local\temp
2012-01-18 16:31 . 2012-01-18 16:31	--------	d-----w-	c:\programdata\WindowsSearch
2012-01-13 16:33 . 2011-12-01 15:21	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
2012-01-13 16:33 . 2011-10-25 15:58	1314816	----a-w-	c:\windows\system32\quartz.dll
2012-01-13 16:33 . 2011-10-25 15:58	497152	----a-w-	c:\windows\system32\qdvd.dll
2012-01-13 16:33 . 2011-11-25 15:59	376320	----a-w-	c:\windows\system32\winsrv.dll
2012-01-13 16:33 . 2011-10-14 16:03	189952	----a-w-	c:\windows\system32\winmm.dll
2012-01-13 16:33 . 2011-10-14 16:00	23552	----a-w-	c:\windows\system32\mciseq.dll
2012-01-13 16:33 . 2011-11-18 20:23	1205064	----a-w-	c:\windows\system32\ntdll.dll
2012-01-13 16:33 . 2011-11-18 17:47	66560	----a-w-	c:\windows\system32\packager.dll
2011-12-27 07:30 . 2011-11-21 10:47	6823496	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{CA5A9E3C-6303-46A4-A4F0-0D73B667720C}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-14 12:09 . 2011-12-14 12:09	1207568	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2011-12-10 14:24 . 2010-09-22 20:30	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-11-23 13:37 . 2011-12-15 19:07	2043904	----a-w-	c:\windows\system32\win32k.sys
2011-11-08 14:42 . 2011-12-15 19:07	2048	----a-w-	c:\windows\system32\tzres.dll
2011-11-04 14:54 . 2011-12-15 19:07	1383424	----a-w-	c:\windows\system32\mshtml.tlb
2011-10-27 08:01 . 2011-12-15 19:07	3602816	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-10-27 08:01 . 2011-12-15 19:07	3550080	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-10-25 15:56 . 2011-12-15 19:07	49152	----a-w-	c:\windows\system32\csrsrv.dll
2011-11-10 13:40 . 2011-10-09 16:05	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\prxtbMyA0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
2011-05-09 09:49	176936	----a-w-	c:\program files\MyAshampoo\prxtbMyA0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\program files\MyAshampoo\prxtbMyA0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}"= "c:\program files\MyAshampoo\prxtbMyA0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-04 13556256]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-04 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3246748724-2846338294-3741642108-1000]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-18 20:48]
.
2012-01-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-18 20:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://plasmoo.com
uInternet Settings,ProxyServer = http=127.0.0.1:50889
IE: Free YouTube to Mp3 Converter - c:\users\Norbert\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Norbert\AppData\Roaming\Mozilla\Firefox\Profiles\5s4w89c0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://plasmoo.com/index.htm?SearchMashine=true&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://plasmoo.com/index.htm?SearchMashine=true&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 50889
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-19 17:58
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\rundll32.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\windows\system32\WLANExt.exe
c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\conime.exe
c:\windows\System32\rundll32.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\program files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-01-19  18:33:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-01-19 17:33
ComboFix2.txt  2012-01-18 21:09
ComboFix3.txt  2012-01-18 18:15
.
Vor Suchlauf: 11 Verzeichnis(se), 22.971.527.168 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.543.519.744 Bytes frei
.
- - End Of File - - 18C68CD5BAAEB3C2D053A340A1B0AB57
         
--- --- ---

Alt 20.01.2012, 12:44   #10
markusg
/// Malware-holic
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 20.01.2012, 23:56   #11
Neuss2002
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.20.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Norbert :: NORBERT-LAPTOP [Administrator]

20.01.2012 20:06:26
mbam-log-2012-01-20 (20-06-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 303837
Laufzeit: 2 Stunde(n), 43 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|ProxyServer (PUM.Bad.Proxy) -> Daten: http=127.0.0.1:50889 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Qoobox\Quarantine\C\Users\Norbert\AppData\Roaming\DAFCE\lvvm.exe.vir (Trojan.Gbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Alt 21.01.2012, 16:35   #12
markusg
/// Malware-holic
 
50 € Trojaner bitte um Hilfe Files sind hinterlegt - Standard

50 € Trojaner bitte um Hilfe Files sind hinterlegt



hi, kannst du mal testen ob der internet explorer ins internet kommt?
lade den CCleaner standard:
CCleaner Download - CCleaner 3.14.1616
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu 50 € Trojaner bitte um Hilfe Files sind hinterlegt
50 € trojaner, bitte um hilfe, files, hilfe!, hilfe!!, hilfe!!!, leute, troja, trojaner




Ähnliche Themen: 50 € Trojaner bitte um Hilfe Files sind hinterlegt


  1. Trojaner eingefangen Dateien sind Locked verschlüsselt! Wie entschlüsseln? Hilfe!!
    Log-Analyse und Auswertung - 30.01.2014 (3)
  2. Seit kurzem im Browser plötzlich Werbung und grün unterstrichene Wörter, die mit Popup-Werbung hinterlegt sind
    Log-Analyse und Auswertung - 13.12.2013 (7)
  3. Trojaner Versucht zu entfernen bin nicht sicher lade die log files bite um hilfe.?
    Log-Analyse und Auswertung - 23.08.2013 (24)
  4. Missing Files sind nicht zu fixen
    Log-Analyse und Auswertung - 23.10.2009 (4)
  5. Dringend Hilfe - Mehrere Trojaner die nicht zu entfernen sind TR/Dropper.Gen usw
    Log-Analyse und Auswertung - 07.07.2009 (3)
  6. Sind meine HiJackThis Log-Files in Ordnung?
    Log-Analyse und Auswertung - 07.05.2009 (1)
  7. 6 Trojaner gefunden!! Bitte um Auswertung der Log-Files
    Log-Analyse und Auswertung - 16.03.2009 (2)
  8. Bitte um eine Auswertung-sind alle trojaner weg??
    Mülltonne - 17.08.2008 (0)
  9. Trojaner! Hilfe! wie entfernen? meine HiJackThis Log-Files
    Log-Analyse und Auswertung - 23.06.2008 (6)
  10. Alle Desktopsymbole sind weg kann nichts mehr machen, bitte um Hilfe...
    Plagegeister aller Art und deren Bekämpfung - 19.06.2008 (6)
  11. Trojaner Bitte um Prüfung des Log-Files
    Log-Analyse und Auswertung - 15.08.2007 (4)
  12. Files sind nicht zu löschen
    Log-Analyse und Auswertung - 29.07.2007 (3)
  13. Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files!
    Log-Analyse und Auswertung - 15.07.2007 (7)
  14. Ich bitte um Hilfe bei der Auswertung meines Log-Files
    Log-Analyse und Auswertung - 19.03.2007 (1)
  15. Bitte dringend um Hilfe bei Auswertung des Log-Files :-) DANKE
    Log-Analyse und Auswertung - 30.09.2006 (1)
  16. Hilfe, die trojaner sind da!!!!!!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 29.03.2005 (2)
  17. logfile/unbekannte files...bitte hilfe
    Log-Analyse und Auswertung - 25.02.2005 (1)

Zum Thema 50 € Trojaner bitte um Hilfe Files sind hinterlegt - Hallo, hier die Files. Ich habe, wie so einige Leute hier diesen Trojaner mit der Fahne und der 50 € aufforderung. Könnt ihr mir helfen? Windows Vista. Danke für die - 50 € Trojaner bitte um Hilfe Files sind hinterlegt...
Archiv
Du betrachtest: 50 € Trojaner bitte um Hilfe Files sind hinterlegt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.