| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.03.2012, 12:04
| #16 |
  |  TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hi, poste bitte noch zu Kontrolle ein neues OTL-Logfile. Wie verhält sich der Rechner? chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
02.03.2012, 12:19
| #17 |
 | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hi!
__________________Anbei die beiden Dateien OTL und Extras. Ich hatte gestern noch mal einen Scan mit MAM und Avira gemacht, beide ohne befund. Der Rechner verhält sich bis jetzt normal. Habe gestern auch CC Clean drüberlaufen lassen, das hat sich auch gelohnt. Kann ich eigentlich den Inhalt des C:/ Temp Ordners löschen (also nciht den ordner selbst, aber alles was dort drin ist? Dort hatten sich noch Viren versteckt, dei Avira gestern fand und löschte. VG Barbara |
|
02.03.2012, 17:31
| #18 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Die Torrent.exe ist wieder da. Hier das Log vom MAM nach scannen dieser einen Datei:
__________________Malwarebytes Anti-Malware 1.60.1.1000 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.03.01.04 Windows XP Service Pack 2 x86 NTFS Internet Explorer 6.0.2900.2180 Besitzer :: PC-JONAS [Administrator] 02.03.2012 17:29:45 mbam-log-2012-03-02 (17-29-45).txt Art des Suchlaufs: Benutzerdefinierter Suchlauf Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P Durchsuchte Objekte: 1 Laufzeit: 9 Sekunde(n) Infizierte Speicherprozesse: 1 C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe (Backdoor.Messa) -> 1916 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{4E3CF522-09F8-11DB-AB3F-806D6172696F} (Backdoor.Messa) -> Daten: C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe (Backdoor.Messa) -> Löschen bei Neustart. (Ende) |
|
02.03.2012, 21:21
| #19 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hi, warst Du zwischenzeitlich im Internet unterwegs? Du solltest unbedingt auf Servicepack 3 updaten... Anhand des OTL-Logs folgendes Script abfahren: OTL:
 Code:
ATTFilter :OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
:Commands
[purity]
[emptytemp]
[Reboot]
Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
03.03.2012, 17:01
| #20 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Ja war im Internet unterwegs. So Servicepack 3 ist nun drauf ( und auch alle anderen Updates von Microsoft, mein Freund hatte das wohl mal abgestellt ?!). Hier die Results vom Fix des OTL: All processes killed ========== OTL ========== HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully! File Animation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab not found. Starting removal of ActiveX control DirectAnimation Java Classes Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\DownloadInformation\\INF . Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\DirectAnimation Java Classes\ not found. File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found. Starting removal of ActiveX control Microsoft XML Parser for Java Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\\INF . Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Besitzer ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 3769161 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 191422885 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 1636 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 34456 bytes RecycleBin emptied: 161503 bytes Total Files Cleaned = 186,00 mb OTL by OldTimer - Version 3.2.33.2 log created on 03032012_164101 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\_avast_\Webshlock.txt not found! File\Folder C:\WINDOWS\temp\ZLT01218.TMP not found! Registry entries deleted on Reboot... Geändert von Babsschnaps (03.03.2012 um 17:08 Uhr) |
|
03.03.2012, 18:40
| #21 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hier das Log von Combofix. Was nun? Combofix Logfile: Code:
ATTFilter ComboFix 12-03-02.01 - Besitzer 03.03.2012 17:44:10.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1279.670 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe
c:\dokumente und einstellungen\Besitzer\WINDOWS
c:\windows\daemon.dll
c:\windows\IsUn0407.exe
c:\windows\iun6002.exe
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\oobe\msoobe.exe
c:\windows\system32\oobe\oobebaln.exe
c:\windows\unin0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-02-03 bis 2012-03-03 ))))))))))))))))))))))))))))))
.
.
2012-03-03 14:27 . 2012-03-03 14:27 -------- d-----w- c:\windows\l2schemas
2012-03-03 14:27 . 2012-03-03 14:27 -------- d-----w- c:\windows\system32\de
2012-03-03 14:09 . 2008-04-14 02:22 69120 ------w- c:\windows\system32\wlanapi.dll
2012-03-03 14:09 . 2008-04-14 02:22 53248 ------w- c:\windows\system32\tsgqec.dll
2012-03-03 14:09 . 2008-04-14 02:22 50688 ------w- c:\windows\system32\tspkg.dll
2012-03-03 14:09 . 2008-04-14 02:23 32768 ------w- c:\windows\system32\setupn.exe
2012-03-03 14:09 . 2008-04-13 18:40 10240 ------w- c:\windows\system32\drivers\sffp_mmc.sys
2012-03-03 14:07 . 2008-04-14 02:22 9216 ------w- c:\windows\system32\dot3dlg.dll
2012-03-03 14:00 . 2012-02-23 16:12 337112 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-03-03 14:00 . 2012-02-23 16:10 20696 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-03-03 14:00 . 2012-02-23 16:10 35672 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2012-03-03 14:00 . 2012-02-23 16:10 53848 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-03-03 14:00 . 2012-02-23 16:12 610648 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-03-03 14:00 . 2012-02-23 16:10 95704 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2012-03-03 14:00 . 2012-02-23 16:10 89048 ----a-w- c:\windows\system32\drivers\aswmon.sys
2012-03-03 14:00 . 2012-02-23 16:07 24920 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2012-03-03 13:59 . 2012-02-23 16:23 41184 ----a-w- c:\windows\avastSS.scr
2012-03-03 13:59 . 2012-02-23 16:23 201352 ----a-w- c:\windows\system32\aswBoot.exe
2012-03-03 13:58 . 2012-03-03 13:58 -------- d-----w- c:\programme\AVAST Software
2012-03-03 13:58 . 2012-03-03 13:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2012-03-03 12:37 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2012-03-03 12:35 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2012-03-03 12:33 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2012-03-03 12:33 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2012-03-03 12:33 . 2009-12-31 16:50 353792 -c----w- c:\windows\system32\dllcache\srv.sys
2012-03-03 12:32 . 2009-10-15 16:28 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2012-03-03 12:32 . 2009-10-15 16:28 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2012-03-03 12:32 . 2009-11-21 15:54 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2012-03-03 12:30 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2012-03-03 12:29 . 2009-06-05 07:42 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2012-03-03 12:27 . 2009-07-31 04:32 1172480 -c----w- c:\windows\system32\dllcache\msxml3.dll
2012-03-03 12:27 . 2008-10-15 16:35 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2012-03-03 12:26 . 2008-05-01 14:34 331776 -c----w- c:\windows\system32\dllcache\msadce.dll
2012-03-03 12:26 . 2008-06-14 17:32 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2012-03-03 12:26 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys
2012-03-03 12:20 . 2009-08-06 18:24 18144 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-03-03 12:20 . 2009-08-06 18:24 23264 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-03-03 12:20 . 2009-08-06 18:24 15584 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-03-03 12:20 . 2009-08-06 18:24 15584 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-03-01 17:38 . 2012-03-01 17:38 -------- d-----w- c:\programme\CCleaner
2012-03-01 13:33 . 2012-03-01 13:33 -------- d-----w- C:\_OTL
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-10 14:24 . 2010-09-09 19:31 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-16 10:50 . 2010-12-08 19:28 3056008 ----a-w- c:\programme\Gemeinsame Dateien\AskToolbarInstaller.exe
2012-02-17 18:56 . 2011-05-10 15:54 134104 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-02-23 16:23 123536 ----a-w- c:\programme\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-07-31 139264]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-28 1043968]
"avast"="c:\programme\AVAST Software\Avast\avastUI.exe" [2012-02-23 4031368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2006-07-12 20:02 61440 ----a-w- c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis*True*Image Monitor]
2006-07-12 20:02 435312 ----a-w- c:\programme\Acronis\TrueImage\TrueImageMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37 843712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2004-09-02 21:57 57344 ----a-w- c:\programme\CloneCD\CloneCDTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Net Agent]
2010-07-29 11:20 431424 ----a-w- c:\programme\DAEMON Tools Net\DTAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-16 20:04 1164584 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckAnyDVD]
2003-09-20 19:23 45056 ----a-w- c:\programme\SlySoft\AnyDVD\ElbyCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-06-01 15:22 1519616 ----a-w- c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Seagate Dashboard]
2010-07-06 19:32 79112 ----a-w- c:\programme\Seagate\Seagate Dashboard\MemeoLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-10-13 08:27 17351304 ----a-r- c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-11-11 12:07 90112 ----a-w- c:\windows\soundman.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2011-08-02 06:41 1242448 ----a-w- c:\valve\Steam\steam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Thunderbird]
2012-02-29 08:11 399512 ----a-w- c:\programme\Mozilla Thunderbird\thunderbird.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\EA GAMES\\Battlefield Vietnam\\bfvietnam.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"c:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programme\\Winamp\\SHOUTcast\\sc_serv.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9090:TCP"= 9090:TCP:pnp
.
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [10.07.2007 16:48 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [10.07.2007 16:48 5248]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [03.03.2012 15:00 610648]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [03.03.2012 15:00 337112]
R1 dtcdrom;dtcdrom;c:\windows\system32\drivers\dtcdrom.sys [18.09.2010 22:55 201280]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [26.05.2009 22:58 53760]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03.03.2012 15:00 20696]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [27.01.2010 03:09 50704]
R2 SeagateDashboardService;Seagate Dashboard Service;c:\programme\Seagate\Seagate Dashboard\SeagateDashboardService.exe [06.07.2010 20:32 14088]
S2 DTNetService;DTNetService;c:\programme\DAEMON Tools Net\DTNetSrv.exe [29.07.2010 12:19 394560]
S2 gupdate1ca827a176e7e7e;Google Update Service (gupdate1ca827a176e7e7e);c:\programme\Google\Update\GoogleUpdate.exe [21.12.2009 21:13 133104]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [21.12.2009 21:13 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-21 20:13]
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-21 20:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.ask.com/?o=14772&l=dis
mLocal Page =
IE: &SHOUTcast Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\SHOUTcast Radio Toolbar\ieToolbar\resources\en-US\local\search.html
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{3157C916-988A-40B8-8905-F1E296B644F7}: NameServer = 195.202.33.68,192.168.100.10,194.25.2.129
TCP: Interfaces\{6B67EC3A-DEBC-4984-9F1D-FBE0D63541CA}: NameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aytyzkuh.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - Google
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: browser.sessionstore.resume_from_crash - false
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-{4E3CF522-09F8-11DB-AB3F-806D6172696F} - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe
AddRemove-Heroes of Might and Magic® III - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-03 18:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
C:\avast! sandbox
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\
.
[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:cd,82,f7,96,84,a1,c3,ce,ae,18,69,55,50,85,4a,a0,f7,12,71,84,6a,16,ed,
82,d9,6b,ac,8b,15,82,d0,84,6e,b7,3c,7c,b7,a7,72,f1,89,3c,56,54,04,f8,a8,98,\
"??"=hex:cc,fb,59,2f,ca,d0,ac,01,31,4a,78,2f,35,d7,43,b6
.
[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:19,3f,08,eb,83,6b,ca,fd,7b,2b,7f,78,f2,6a,b7,3d,65,21,93,e4,1d,
bc,6a,08,72,52,d8,d2,da,78,69,c2,7b,a9,70,c0,3d,19,e5,61,03,d2,a1,0c,14,8f,\
"rkeysecu"=hex:47,0d,d1,31,38,1b,3d,6b,51,be,cd,8b,c6,24,8a,c1
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3456)
c:\programme\SmartFTP Client\en-US\sfShellTools.dll.mui
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AVAST Software\Avast\AvastSvc.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RunDLL32.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-03 18:37:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-03-03 17:37
.
Vor Suchlauf: 25 Verzeichnis(se), 24.153.313.280 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 24.757.157.888 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 57582D0FA01A47B2A1F004B5803A0067
|
|
04.03.2012, 20:51
| #22 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hi, Avast, Zonelab und Avast ist ein bisschen viel auf einem Rechner... Du solltest Dich für eine Lösung entscheiden... Was treibt der Rechner? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.03.2012, 00:12
| #23 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hi Chris, du meintest sicherlich Avira, zonealarm und Avast,oder ? ;0) Avira ist runter, der war vor dem angriff drauf. Stattdessen habe ich Avast installiert. Zonealarm ist wegen der abgeschalteten Windows Firewall drauf. Ist das mit Avast über, obwohl die Windows Firewall aus ist!? Wie ist das nun mit dem Internet, soll ich das nutzen odr nicht? Ich frage so doof wegen deiner Frage einige Posts zuvor, die ich nicht einordnen konnte, ob das nur ne frage ist oder ein "Nein, geh doch nicht ins Internet!!" ;0) Recner testen wir morgen weiter,waren heute den ganzen Tag unterwegs und der war aus. Gute Nacht Barbara |
|
05.03.2012, 08:05
| #24 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hi, ich meinte schon McAfee... PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.) SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.) Daher mal den Uninstaller laufen lassen: Uinstaller Du kannst jetzt wieder ins Netzwerk... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.03.2012, 20:57
| #25 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hi Chris! Macaffee ist Runter. Rechner verhält sich normal, lasse gerade noch mal einen Scan mit MAM und aktuellem Update laufen. Ist Zonealarm über, wenn ich Avast drauf habe? Windows Firewall ist zur zt. deaktiviert. Grüße aus dem Münsterland Barbara |
|
05.03.2012, 21:01
| #26 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hi, Avast kenne ich nicht besonderst gut, aber normalerweise sollte eine Firewall dabei sein... und Zonealarm ist nun nicht gerade der Renner ... ;o)... Am Besten hilft halt immer noch die Brain.exe... Gruß aus dem Schwarzwald, chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.03.2012, 21:13
| #27 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Brain exe? Ist das nen Scherz? :-))) Habe ich noch nie was von gehört. Dem Namen nach würde ich mich da erst mal vereimert fühlen... Okay das war ein Scherz :-) Ja das liebe ultimative Programm. Schön wäre es. MAM ist nun durch, nix drauf. ich glaube mit deiner umfangreichen Hilfe haben wir es geschafft! Dafür ein dickes D A N K E!! Geändert von Babsschnaps (05.03.2012 um 21:19 Uhr) |
|
05.03.2012, 21:54
| #28 |
| | TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? Hi, nicht ganz falsch... Damit meinte ich eigentlich: Gehirn beim Surfen einschalten... Es gibt so Leute die laden sich alles runter, führen es aus und wundern sich anschließend... ;o) Damit sollten wir durch sein... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu TR/Ransom.RJ.37 in torrent.exe wie werde ich den wieder los? |
| .exe, avira, beseitigen, datei, ebanking, foren, gefunde, gestern, hallo zusammen, hinweis, immer wieder, löschen, nicht löschen, onlinebanking, problem, quarantäne, rechner, torrent.exe, troja, trojaner, verhält, verschieben, winxp, zugreife, zugreifen, zusammen, ähnlich |
Linear-Darstellung
