|
Plagegeister aller Art und deren Bekämpfung: Gleich zwei Trojaner auf einmal?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.02.2012, 11:31 | #16 |
| Gleich zwei Trojaner auf einmal? Okay, mach ich. Tut mir leid mit dem Code! |
16.02.2012, 11:50 | #17 |
| Gleich zwei Trojaner auf einmal?Code:
ATTFilter ComboFix 12-02-16.01 - Hilde 16.02.2012 11:33:30.1.2 - x64 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.4094.2822 [GMT 1:00] ausgeführt von:: c:\users\Hilde\Desktop\ComboFix.exe AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\program files (x86)\Common Files\packardbell.ico c:\windows\security\Database\tmp.edb c:\windows\system32\drivers\etc\hosts.ics . . ((((((((((((((((((((((( Dateien erstellt von 2012-01-16 bis 2012-02-16 )))))))))))))))))))))))))))))) . . 2012-02-16 10:37 . 2012-02-16 10:37 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-02-15 16:26 . 2012-02-15 16:26 -------- d-----w- C:\_OTL 2012-02-15 16:24 . 2012-01-04 10:44 509952 ----a-w- c:\windows\system32\ntshrui.dll 2012-02-15 16:24 . 2012-01-04 08:58 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll 2012-02-15 16:24 . 2011-12-30 06:26 515584 ----a-w- c:\windows\system32\timedate.cpl 2012-02-15 16:24 . 2011-12-30 05:27 478720 ----a-w- c:\windows\SysWow64\timedate.cpl 2012-02-15 16:24 . 2012-01-14 04:06 3145728 ----a-w- c:\windows\system32\win32k.sys 2012-02-15 16:24 . 2011-12-28 03:59 498688 ----a-w- c:\windows\system32\drivers\afd.sys 2012-02-15 16:24 . 2011-12-16 08:46 634880 ----a-w- c:\windows\system32\msvcrt.dll 2012-02-15 16:24 . 2011-12-16 07:52 690688 ----a-w- c:\windows\SysWow64\msvcrt.dll 2012-02-14 09:32 . 2012-01-06 05:15 8602168 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4803FA64-0696-42B8-91FD-2DA7B0B68E69}\mpengine.dll 2012-02-07 14:26 . 2012-02-07 14:26 -------- d-----w- c:\users\Hilde\AppData\Local\Solid State Networks 2012-02-07 11:55 . 2012-02-12 19:37 -------- d-----w- c:\program files (x86)\Emsisoft Anti-Malware 2012-02-07 11:30 . 2012-02-07 11:30 -------- d-----w- c:\program files (x86)\Trend Micro 2012-02-07 11:09 . 2012-02-07 11:09 -------- d-----w- c:\program files\CCleaner 2012-02-07 11:08 . 2012-02-07 11:09 -------- d-----w- c:\users\Hilde\AppData\Local\Google 2012-02-07 11:08 . 2012-02-07 11:09 -------- d-----w- c:\program files (x86)\Google 2012-02-05 18:33 . 2012-02-05 18:33 -------- d-----w- c:\users\Hilde\AppData\Roaming\Malwarebytes 2012-02-05 18:33 . 2012-02-05 18:33 -------- d-----w- c:\programdata\Malwarebytes 2012-02-05 17:16 . 2012-02-12 19:40 -------- d-----w- c:\program files (x86)\Spybot - Search & Destroy 2012-02-05 17:16 . 2012-02-12 19:40 -------- d-----w- c:\programdata\Spybot - Search & Destroy 2012-02-05 16:46 . 2012-02-05 16:46 -------- d-----w- c:\windows\system32\Macromed . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-07 14:23 . 2011-08-14 18:00 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2012-01-26 23:52 . 2010-05-15 13:05 279656 ------w- c:\windows\system32\MpSigStub.exe . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2009-08-18 1157640] "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696] "VideoWebCamera"="c:\program files (x86)\VideoWebCamera\VideoWebCamera.exe" [2009-07-28 1507448] "RemoteControl8"="c:\program files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-04-15 91432] "PDVD8LanguageShortcut"="c:\program files (x86)\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472] "BDRegion"="c:\program files (x86)\Cyberlink\Shared Files\brs.exe" [2009-07-07 75048] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) . R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176] R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2009-07-14 27136] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176] R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [x] R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x] R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x] R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x] R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x] R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [x] R4 Rerltacm;Rerltacm; [x] S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x] S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/10/27 10:41];c:\program files (x86)\CyberLink\PowerDVD8\000.fcl [2009-07-07 12:47 146928] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2009-08-06 844320] S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x] S3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw5v64.sys [x] S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x] . . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - WS2IFSL . Inhalt des "geplante Tasks" Ordners . 2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08] . 2012-02-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08] . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-28 7982112] "Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2009-08-06 828960] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-28 16334880] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "LoadAppInit_DLLs"=0x0 . ------- Zusätzlicher Suchlauf ------- . uStart Page = uLocal Page = c:\windows\system32\blank.htm mStart Page = mLocal Page = IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.2.1 FF - ProfilePath - c:\users\Hilde\AppData\Roaming\Mozilla\Firefox\Profiles\6311p2bd.default\ FF - prefs.js: browser.search.selectedEngine - FF - prefs.js: browser.startup.homepage - FF - user.js: extensions.BabylonToolbar_i.id - 6ce452740000000000000026c616fac4 FF - user.js: extensions.BabylonToolbar_i.hardId - 6ce452740000000000000026c616fac4 FF - user.js: extensions.BabylonToolbar_i.instlDay - 15319 FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17 FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17 FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:23 FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar FF - user.js: extensions.BabylonToolbar_i.aflt - babsst FF - user.js: extensions.BabylonToolbar_i.smplGrp - none FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9 FF - user.js: extensions.BabylonToolbar_i.newTab - false FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100478 FF - user.js: extensions.BabylonToolbar_i.babExt - FF - user.js: extensions.BabylonToolbar_i.srcExt - ss FF - user.js: extensions.BabylonToolbar_i.instlRef - sst . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe . . . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}] "ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD8\000.fcl" . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus\1] @="131473" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe . ************************************************************************** . Zeit der Fertigstellung: 2012-02-16 11:44:39 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2012-02-16 10:44 . Vor Suchlauf: 11 Verzeichnis(se), 262.028.746.752 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 261.705.691.136 Bytes frei . - - End Of File - - 7854022E5A251C1A5FEED6837CFF7D4B |
16.02.2012, 13:53 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Gleich zwei Trojaner auf einmal? Combofix - Scripten
__________________1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Driver:: Rerltacm Firefox:: FF - user.js: extensions.BabylonToolbar_i.id - 6ce452740000000000000026c616fac4 FF - user.js: extensions.BabylonToolbar_i.hardId - 6ce452740000000000000026c616fac4 FF - user.js: extensions.BabylonToolbar_i.instlDay - 15319 FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17 FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17 FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:23 FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar FF - user.js: extensions.BabylonToolbar_i.aflt - babsst FF - user.js: extensions.BabylonToolbar_i.smplGrp - none FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9 FF - user.js: extensions.BabylonToolbar_i.newTab - false FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100478 FF - user.js: extensions.BabylonToolbar_i.babExt - FF - user.js: extensions.BabylonToolbar_i.srcExt - ss FF - user.js: extensions.BabylonToolbar_i.instlRef - sst 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ |
16.02.2012, 18:40 | #19 |
| Gleich zwei Trojaner auf einmal? Hallo Cosinus, hier das Log: Code:
ATTFilter ComboFix 12-02-16.01 - Hilde 16.02.2012 18:23:06.2.2 - x64 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.4094.2925 [GMT 1:00] ausgeführt von:: c:\users\Hilde\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\users\Hilde\Desktop\CFScript.txt AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\system32\drivers\etc\hosts.ics . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Service_Rerltacm . . ((((((((((((((((((((((( Dateien erstellt von 2012-01-16 bis 2012-02-16 )))))))))))))))))))))))))))))) . . 2012-02-15 16:26 . 2012-02-15 16:26 -------- d-----w- C:\_OTL 2012-02-15 16:24 . 2012-01-04 10:44 509952 ----a-w- c:\windows\system32\ntshrui.dll 2012-02-15 16:24 . 2012-01-04 08:58 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll 2012-02-15 16:24 . 2011-12-30 06:26 515584 ----a-w- c:\windows\system32\timedate.cpl 2012-02-15 16:24 . 2011-12-30 05:27 478720 ----a-w- c:\windows\SysWow64\timedate.cpl 2012-02-15 16:24 . 2012-01-14 04:06 3145728 ----a-w- c:\windows\system32\win32k.sys 2012-02-15 16:24 . 2011-12-28 03:59 498688 ----a-w- c:\windows\system32\drivers\afd.sys 2012-02-15 16:24 . 2011-12-16 08:46 634880 ----a-w- c:\windows\system32\msvcrt.dll 2012-02-15 16:24 . 2011-12-16 07:52 690688 ----a-w- c:\windows\SysWow64\msvcrt.dll 2012-02-14 09:32 . 2012-01-06 05:15 8602168 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4803FA64-0696-42B8-91FD-2DA7B0B68E69}\mpengine.dll 2012-02-07 14:26 . 2012-02-07 14:26 -------- d-----w- c:\users\Hilde\AppData\Local\Solid State Networks 2012-02-07 11:55 . 2012-02-12 19:37 -------- d-----w- c:\program files (x86)\Emsisoft Anti-Malware 2012-02-07 11:30 . 2012-02-07 11:30 -------- d-----w- c:\program files (x86)\Trend Micro 2012-02-07 11:09 . 2012-02-07 11:09 -------- d-----w- c:\program files\CCleaner 2012-02-07 11:08 . 2012-02-07 11:09 -------- d-----w- c:\users\Hilde\AppData\Local\Google 2012-02-07 11:08 . 2012-02-07 11:09 -------- d-----w- c:\program files (x86)\Google 2012-02-05 18:33 . 2012-02-05 18:33 -------- d-----w- c:\users\Hilde\AppData\Roaming\Malwarebytes 2012-02-05 18:33 . 2012-02-05 18:33 -------- d-----w- c:\programdata\Malwarebytes 2012-02-05 17:16 . 2012-02-12 19:40 -------- d-----w- c:\program files (x86)\Spybot - Search & Destroy 2012-02-05 17:16 . 2012-02-12 19:40 -------- d-----w- c:\programdata\Spybot - Search & Destroy 2012-02-05 16:46 . 2012-02-05 16:46 -------- d-----w- c:\windows\system32\Macromed . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-02-07 14:23 . 2011-08-14 18:00 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2012-01-26 23:52 . 2010-05-15 13:05 279656 ------w- c:\windows\system32\MpSigStub.exe . . ((((((((((((((((((((((((((((( SnapShot@2012-02-16_10.39.31 ))))))))))))))))))))))))))))))))))))))))) . + 2009-08-28 05:15 . 2012-02-16 17:12 39526 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin + 2009-07-14 05:10 . 2012-02-16 17:12 42988 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin + 2010-05-15 19:46 . 2012-02-16 17:12 11160 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3936037995-2034884825-2607243628-1000_UserData.bin + 2009-07-14 04:46 . 2012-02-16 10:46 91888 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform\Cache\cache.dat + 2010-06-16 16:24 . 2012-02-16 10:46 1950 c:\windows\system32\wdi\ERCQueuedResolutions.dat + 2012-02-16 17:28 . 2012-02-16 17:28 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat - 2012-02-16 10:38 . 2012-02-16 10:38 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat + 2012-02-16 17:28 . 2012-02-16 17:28 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2012-02-16 10:38 . 2012-02-16 10:38 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2009-07-14 02:36 . 2012-02-16 10:27 616242 c:\windows\system32\perfh009.dat + 2009-07-14 02:36 . 2012-02-16 17:15 616242 c:\windows\system32\perfh009.dat - 2009-10-27 18:10 . 2012-02-16 10:27 654400 c:\windows\system32\perfh007.dat + 2009-10-27 18:10 . 2012-02-16 17:15 654400 c:\windows\system32\perfh007.dat - 2009-07-14 02:36 . 2012-02-16 10:27 106622 c:\windows\system32\perfc009.dat + 2009-07-14 02:36 . 2012-02-16 17:15 106622 c:\windows\system32\perfc009.dat - 2009-10-27 18:10 . 2012-02-16 10:27 130240 c:\windows\system32\perfc007.dat + 2009-10-27 18:10 . 2012-02-16 17:15 130240 c:\windows\system32\perfc007.dat + 2009-07-14 05:01 . 2012-02-16 17:28 314148 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat - 2009-07-14 05:01 . 2012-02-16 10:38 314148 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat + 2012-02-15 18:26 . 2012-02-16 17:28 314916 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3936037995-2034884825-2607243628-1000-8192.dat - 2012-02-15 18:26 . 2012-02-15 18:26 314916 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3936037995-2034884825-2607243628-1000-8192.dat + 2012-02-15 18:26 . 2012-02-16 17:28 3171048 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3936037995-2034884825-2607243628-1000-4096.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2009-08-18 1157640] "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696] "VideoWebCamera"="c:\program files (x86)\VideoWebCamera\VideoWebCamera.exe" [2009-07-28 1507448] "RemoteControl8"="c:\program files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-04-15 91432] "PDVD8LanguageShortcut"="c:\program files (x86)\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472] "BDRegion"="c:\program files (x86)\Cyberlink\Shared Files\brs.exe" [2009-07-07 75048] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) . R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176] R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2009-07-14 27136] R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 136176] R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [x] R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [x] R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [x] R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x] R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x] R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [x] S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x] S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/10/27 10:41];c:\program files (x86)\CyberLink\PowerDVD8\000.fcl [2009-07-07 12:47 146928] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2009-08-06 844320] S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x] S3 NETw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw5v64.sys [x] S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x] . . Inhalt des "geplante Tasks" Ordners . 2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08] . 2012-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-02-07 11:08] . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-28 7982112] "Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2009-08-06 828960] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-28 16334880] "SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU] "combofix"="c:\combofix\CF2014.3XE" [2010-11-20 345088] . ------- Zusätzlicher Suchlauf ------- . uStart Page = uLocal Page = c:\windows\system32\blank.htm mStart Page = mLocal Page = IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.2.1 FF - ProfilePath - c:\users\Hilde\AppData\Roaming\Mozilla\Firefox\Profiles\6311p2bd.default\ FF - prefs.js: browser.search.selectedEngine - FF - prefs.js: browser.startup.homepage - FF - user.js: extensions.BabylonToolbar_i.id - 6ce452740000000000000026c616fac4 FF - user.js: extensions.BabylonToolbar_i.hardId - 6ce452740000000000000026c616fac4 FF - user.js: extensions.BabylonToolbar_i.instlDay - 15319 FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17 FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17 FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1721:23 FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar FF - user.js: extensions.BabylonToolbar_i.aflt - babsst FF - user.js: extensions.BabylonToolbar_i.smplGrp - none FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9 FF - user.js: extensions.BabylonToolbar_i.newTab - false FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100478 FF - user.js: extensions.BabylonToolbar_i.babExt - FF - user.js: extensions.BabylonToolbar_i.srcExt - ss FF - user.js: extensions.BabylonToolbar_i.instlRef - sst . . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}] "ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD8\000.fcl" . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus\1] @="131473" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Weitere laufende Prozesse ------------------------ . c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe . ************************************************************************** . Zeit der Fertigstellung: 2012-02-16 18:33:52 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2012-02-16 17:33 ComboFix2.txt 2012-02-16 10:44 . Vor Suchlauf: 15 Verzeichnis(se), 261.769.043.968 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 261.542.850.560 Bytes frei . - - End Of File - - 7A6A4DA6AC91031C4B8D99A12BB2D70A |
16.02.2012, 21:46 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Gleich zwei Trojaner auf einmal? Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!
__________________ Logfiles bitte immer in CODE-Tags posten |
17.02.2012, 11:52 | #21 |
| Gleich zwei Trojaner auf einmal?Code:
ATTFilter aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software Run date: 2012-02-17 11:42:30 ----------------------------- 11:42:30.926 OS Version: Windows x64 6.1.7601 Service Pack 1 11:42:30.926 Number of processors: 2 586 0x170A 11:42:30.926 ComputerName: HILDE-PC UserName: Hilde 11:42:32.705 Initialize success 11:44:07.372 AVAST engine defs: 12021601 11:44:55.763 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 11:44:55.763 Disk 0 Vendor: WDC_WD3200BEVT-22ZCT0 11.01A11 Size: 305245MB BusType: 11 11:44:55.779 Disk 0 MBR read successfully 11:44:55.779 Disk 0 MBR scan 11:44:55.794 Disk 0 Windows 7 default MBR code 11:44:55.794 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 12291 MB offset 63 11:44:55.825 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 101 MB offset 25173855 11:44:55.825 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 292850 MB offset 25382700 11:44:55.841 Service scanning 11:44:58.103 Modules scanning 11:44:58.103 Disk 0 trace - called modules: 11:44:58.165 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys 11:44:58.181 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c3a060] 11:44:58.696 3 CLASSPNP.SYS[fffff8800160143f] -> nt!IofCallDriver -> [0xfffffa80047881e0] 11:44:58.696 5 ACPI.sys[fffff88000ed17a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa80047db060] 11:44:59.850 AVAST engine scan C:\Windows 11:45:02.627 AVAST engine scan C:\Windows\system32 11:47:24.759 AVAST engine scan C:\Windows\system32\drivers 11:47:37.629 AVAST engine scan C:\Users\Hilde 11:48:28.111 AVAST engine scan C:\ProgramData 11:48:55.161 Scan finished successfully 11:49:09.747 Disk 0 MBR has been saved successfully to "C:\Users\Hilde\Desktop\MBR.dat" 11:49:09.763 The log file has been saved successfully to "C:\Users\Hilde\Desktop\aswMBR.txt" |
17.02.2012, 14:06 | #22 |
| Gleich zwei Trojaner auf einmal? Okay, das log ist da - in Code-Schreibweise;-) |
17.02.2012, 14:32 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Gleich zwei Trojaner auf einmal? Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
17.02.2012, 14:36 | #24 |
| Gleich zwei Trojaner auf einmal? Gut, mach ich, dürfte so ca. 1 Stunde dauern. War denn dieser TR/Spy.559819 ein echter Schädling und wenn ja, was macht er? |
17.02.2012, 14:46 | #25 |
| Gleich zwei Trojaner auf einmal? vertippt, bitte dieses post löschen |
17.02.2012, 15:38 | #26 |
| Gleich zwei Trojaner auf einmal? Hier das Antimalware-Post: sieht wohl gut aus. Zweiter Teil folgt. Code:
ATTFilter 17.02.2012 14:49:16 mbam-log-2012-02-17 (14-49-16).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 297324 Laufzeit: 46 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
17.02.2012, 17:17 | #27 |
| Gleich zwei Trojaner auf einmal? Hier der Superspyware-Scan - er hat 16 Bedrohungen gefunden, hier ist das Log: Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 02/17/2012 at 05:13 PM Application Version : 5.0.1144 Core Rules Database Version : 8257 Trace Rules Database Version: 6069 Scan type : Complete Scan Total Scan Time : 01:11:15 Operating System Information Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601) UAC On - Administrator Memory items scanned : 602 Memory threats detected : 0 Registry items scanned : 63878 Registry threats detected : 0 File items scanned : 125710 File threats detected : 16 Adware.Tracking Cookie .doubleclick.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .atdmt.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .atdmt.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] track.adform.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] track.adform.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .adform.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] de.sitestat.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] de.sitestat.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .a.revenuemax.de [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .apmebf.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .apmebf.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .fastclick.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .adfarm1.adition.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .adfarm1.adition.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] ad2.adfarm1.adition.com [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] .doubleclick.net [ C:\USERS\HILDE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ] |
17.02.2012, 17:51 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Gleich zwei Trojaner auf einmal? Sieht ok aus, da wurden nur Cookies gefunden. Die können weg. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ist das System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
17.02.2012, 18:32 | #29 |
| Gleich zwei Trojaner auf einmal? Lasse gerade nochmal Avira durchlaufen mit Vollscan, ist gleich fertig, bis jetzt nichts gefunden. Was mir auffällt, dass der Rechner jetzt schneller läuft und auch die Verbindung zum Netz nicht mehr ausfällt, was in den letzten Wochen oft der Fall war. Eine Frage noch: Wenn man einen Rechner besitzt, der selbst nicht am Web hängt, mit Programmen zu Testzwecken per Stick versorgt, diese dann aber wieder deinstalliert, sich aber nicht sicher ist, ob dadurch Malware raufkam - auf diese testen will, kann man dann die von dir hier angewandte Methode und die Programme (ohne Combofix) verwenden, in dem man diese per Stick rüberschaufelt und die Tests macht? Oder muss man das anders machen? Geändert von photonic (17.02.2012 um 18:40 Uhr) |
17.02.2012, 18:38 | #30 |
| Gleich zwei Trojaner auf einmal? Hier das Avira-Log, er hat ein verstecktes Objekt gefunden, was auch immer das ist: Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Freitag, 17. Februar 2012 17:39 Es wird nach 3473425 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 x64 Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HILDE-PC Versionsinformationen: BUILD.DAT : 10.2.0.707 36070 Bytes 25.01.2012 12:53:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 24.07.2011 16:58:59 AVSCAN.DLL : 10.0.5.0 57192 Bytes 24.07.2011 16:58:59 LUKE.DLL : 10.3.0.5 45416 Bytes 24.07.2011 16:59:00 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 24.07.2011 16:59:00 AVREG.DLL : 10.3.0.9 88833 Bytes 24.07.2011 16:59:00 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 12:31:35 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:33:40 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:38:02 VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 14:38:02 VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 14:38:02 VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 14:38:03 VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 14:38:03 VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 14:38:03 VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 14:38:04 VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 14:38:04 VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 14:38:05 VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 14:38:05 VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 14:39:08 VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 14:39:42 VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 08:39:07 VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 15:06:55 VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 09:28:27 VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 16:17:13 VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 16:33:25 VBASE020.VDF : 7.11.23.99 2048 Bytes 17.02.2012 16:33:26 VBASE021.VDF : 7.11.23.100 2048 Bytes 17.02.2012 16:33:26 VBASE022.VDF : 7.11.23.101 2048 Bytes 17.02.2012 16:33:26 VBASE023.VDF : 7.11.23.102 2048 Bytes 17.02.2012 16:33:26 VBASE024.VDF : 7.11.23.103 2048 Bytes 17.02.2012 16:33:26 VBASE025.VDF : 7.11.23.104 2048 Bytes 17.02.2012 16:33:26 VBASE026.VDF : 7.11.23.105 2048 Bytes 17.02.2012 16:33:27 VBASE027.VDF : 7.11.23.106 2048 Bytes 17.02.2012 16:33:27 VBASE028.VDF : 7.11.23.107 2048 Bytes 17.02.2012 16:33:27 VBASE029.VDF : 7.11.23.108 2048 Bytes 17.02.2012 16:33:27 VBASE030.VDF : 7.11.23.109 2048 Bytes 17.02.2012 16:33:28 VBASE031.VDF : 7.11.23.110 13824 Bytes 17.02.2012 16:33:29 Engineversion : 8.2.10.4 AEVDF.DLL : 8.1.2.2 106868 Bytes 05.11.2011 11:03:08 AESCRIPT.DLL : 8.1.4.5 442745 Bytes 11.02.2012 10:33:11 AESCN.DLL : 8.1.8.2 131444 Bytes 31.01.2012 17:02:32 AESBX.DLL : 8.2.4.5 434549 Bytes 03.12.2011 17:34:04 AERDL.DLL : 8.1.9.15 639348 Bytes 11.09.2011 15:10:40 AEPACK.DLL : 8.2.16.3 799094 Bytes 11.02.2012 10:33:08 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.12.2011 09:30:14 AEHEUR.DLL : 8.1.3.31 4395383 Bytes 16.02.2012 18:19:06 AEHELP.DLL : 8.1.19.0 254327 Bytes 31.01.2012 17:02:13 AEGEN.DLL : 8.1.5.21 409971 Bytes 04.02.2012 14:40:34 AEEXP.DLL : 8.1.0.22 70005 Bytes 16.02.2012 18:19:07 AEEMU.DLL : 8.1.3.0 393589 Bytes 25.11.2010 13:58:58 AECORE.DLL : 8.1.25.4 201079 Bytes 14.02.2012 09:28:30 AEBB.DLL : 8.1.1.0 53618 Bytes 15.05.2010 13:25:50 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.3.2 44904 Bytes 24.07.2011 16:58:59 AVREP.DLL : 10.0.0.10 174120 Bytes 20.05.2011 18:55:16 AVARKT.DLL : 10.0.26.1 255336 Bytes 24.07.2011 16:58:59 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 24.07.2011 16:58:59 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 24.07.2011 16:58:59 RCTEXT.DLL : 10.0.64.0 98664 Bytes 24.07.2011 16:58:59 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Freitag, 17. Februar 2012 17:39 Der Suchlauf nach versteckten Objekten wird begonnen. c:\users\hilde\appdata\local\microsoft\windows\temporary internet files\low\content.ie5\qpin78sd\index[1].js c:\users\hilde\appdata\local\microsoft\windows\temporary internet files\low\content.ie5\qpin78sd\index[1].js [HINWEIS] Die Datei ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '137' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'brs.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVD8Serv.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'VideoWebCamera.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'LManager.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '158' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Packard Bell> Ende des Suchlaufs: Freitag, 17. Februar 2012 18:34 Benötigte Zeit: 55:01 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 23432 Verzeichnisse wurden überprüft 352625 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 352625 Dateien ohne Befall 2789 Archive wurden durchsucht 0 Warnungen 1 Hinweise 527400 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden |
Themen zu Gleich zwei Trojaner auf einmal? |
antivir, antivir guard, avira, babylon, cpu, desktop, emsisoft, emsisoft anti-malware, firefox, flash player, google, hijack, home, mozilla, office 2007, packard bell, problem, realtek, scan, schädling, search the web, security, sicherheit, software, svchost.exe, system, tr/spy., trojaner, trojanisches pferd, updates, usb 2.0, vista, windows, windows 7 home, windows 7 home premium |