Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ukash Virus - PC nun sauber ?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.03.2012, 13:42   #1
DannyH
 
Ukash Virus - PC nun sauber ? - Standard

Ukash Virus - PC nun sauber ?



Mein Problem ist Folgendes: Gestern Abend habe ich mir - woher ist mir schleierhaft - den "Bundespolizei Virus" geholt. Ich gehe davon aus, dass die meisten wissen wovon ich rede.

Jedenfalls habe ich daraufhin den PC im Safe Modus gestartet und sofort eine Systemwiederherstellung durchgeführt. Siehe da der PC läuft wieder im normalen Modus. Nachdem ich mich über Google etwas eingelesen hatte, entschloss ich mich Malwarebytes einzusetzen, da es praktisch von jedem empfohlen und als effektiv eingestuft wurde. Ich ließ also das Programm mal alles durchscannen und habe dann einige Dateien gelöscht, die mir als infiziert erklärt wurden. Ende des gestrigen Tages. Heute das Programm nochmal drüber laufen lassen und nochmal eine Datei gelöscht (eventuell hatte ich die am Vortag übersehen anzuhaken). Dann fand ich heraus, dass durch die Systemwiederherstellung mein Avast stoppte zu funktionieren, also neuen Client gezogen und so wie ich das hier schreibe lasse ich den ebenfalls nochmals alles durchscannen.

Ich habe bereits auf diversen Seiten gelesen, dass gewisse Einträge im regedit zu ändern seien (Stichwort Shell), bzw. Exen wie jashla und weitere (aus Autostart) zu entfernen seien, allerdings finde ich weder das eine noch das andere auf meinem PC.

Nun stelle ich mir die Frage - sollte Avast nichts finden, bin ich das Übel dann los ? Ich will mir absolut sicher sein bevor ich mich das nächste mal an Online Banking traue.



DDS:

Code:
ATTFilter
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.7600.16385  BrowserJavaVersion: 1.6.0_26
Run by xD at 23:02:34 on 2012-03-30
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.43.1033.18.3326.2245 [GMT 2:00]
.
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Program Files\Creative\Shared Files\CTAudSvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Creative\Volume Panel\VolPanlu.exe
C:\Program Files\Logitech\GamePanel Software\LGDevAgt.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\SYSTEM32\CTXFISPI.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Mozilla Firefox\New_Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
.
============== Pseudo HJT Report ===============
.
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll
mURLSearchHooks: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll
BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\program files\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\alwil software\avast5\aswWebRepIE.dll
BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
BHO: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll
BHO: FrostWire Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\program files\ask.com\GenericAskToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
TB: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll
TB: FrostWire Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\program files\ask.com\GenericAskToolbar.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\alwil software\avast5\aswWebRepIE.dll
EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [Google Update] "c:\users\xd\appdata\local\google\update\GoogleUpdate.exe" /c
uRun: [AdobeUpdater] "c:\program files\common files\adobe\updater5\AdobeUpdater.exe"
mRun: [VolPanel] "c:\program files\creative\volume panel\VolPanlu.exe" /r
mRun: [Launch LgDeviceAgent] "c:\program files\logitech\gamepanel software\LgDevAgt.exe"
mRun: [Launch LGDCore] "c:\program files\logitech\gamepanel software\g-series software\LGDCore.exe" /SHOWHIDE
mRun: [IntelliPoint] "c:\program files\microsoft intellipoint\ipoint.exe"
mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"
mRun: [Acrobat Assistant 8.0] "c:\program files\adobe\acrobat 8.0\acrobat\Acrotray.exe"
mRun: [<NO NAME>] 
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [DivXUpdate] "c:\program files\divx\divx update\DivXUpdate.exe" /CHECKNOW
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
mRun: [avast] "c:\program files\alwil software\avast5\avastUI.exe" /nogui
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\adobea~1.lnk - c:\windows\installer\{ac76ba86-1033-f400-7760-000000000003}\_SC_Acrobat.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: An vorhandenes PDF anfügen - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~3\office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {88EB38EF-4D2C-436D-ABD3-56B232674062} - c:\program files\icq7.0\ICQ.exe
IE: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\users\xd\desktop\PartyPoker.lnk
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~3\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab
TCP: DhcpNameServer = 10.0.0.138
TCP: Interfaces\{0D1A59D9-D8AF-45AD-A6EB-3C8993869D16} : DhcpNameServer = 10.0.0.138
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\xd\appdata\roaming\mozilla\firefox\profiles\m7tdh9jh.default\
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\divx\divx ovs helper\npovshelper.dll
FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\users\xd\appdata\local\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\users\xd\appdata\local\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\mozilla firefox\new_firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\mozilla firefox\new_firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\divx\divx plus web player\firefox\DivXHTML5
FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\alwil software\avast5\webrep\FF
.
============= SERVICES / DRIVERS ===============
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2012-3-30 612184]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-1-9 337880]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-3-3 172032]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-1-9 20696]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-1-9 57688]
R2 avast! Antivirus;avast! Antivirus;c:\program files\alwil software\avast5\AvastSvc.exe [2010-3-18 44768]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-3-29 652360]
R2 TeamViewer7;TeamViewer 7;c:\program files\teamviewer\version7\TeamViewer_Service.exe [2012-2-19 3027840]
R3 amdkmdag;amdkmdag;c:\windows\system32\drivers\atipmdag.sys [2010-3-3 5340160]
R3 amdkmdap;amdkmdap;c:\windows\system32\drivers\atikmpag.sys [2010-3-3 152064]
R3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\system32\drivers\CT20XUT.sys [2009-6-4 171032]
R3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\system32\drivers\CTEXFIFX.sys [2009-6-4 1324056]
R3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\system32\drivers\CTHWIUT.sys [2009-6-4 72728]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-3-29 20464]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2009-6-10 139776]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-8-28 136176]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]
S3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files\common files\creative labs shared\service\AL6Licensing.exe [2010-1-9 79360]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\common files\creative labs shared\service\CTAELicensing.exe [2010-1-9 79360]
S3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.sys [2009-6-4 171032]
S3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.sys [2009-6-4 1324056]
S3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.sys [2009-6-4 72728]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2010-8-28 136176]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]
S3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\wat\WatAdminSvc.exe [2012-3-30 1343400]
.
=============== Created Last 30 ================
.
.
==================== Find3M  ====================
.
2012-03-06 23:15:19	41184	----a-w-	c:\windows\avastSS.scr
2012-03-06 23:03:51	612184	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-03-06 23:02:14	44376	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-03-06 23:01:48	57688	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-02-23 07:18:36	237072	------w-	c:\windows\system32\MpSigStub.exe
2012-02-15 05:44:57	826368	----a-w-	c:\windows\system32\rdpcore.dll
2012-02-15 04:22:43	177152	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-02-15 04:22:18	24064	----a-w-	c:\windows\system32\drivers\tdtcp.sys
2012-02-10 05:41:38	1074176	----a-w-	c:\windows\system32\DWrite.dll
2012-02-10 05:41:20	218624	----a-w-	c:\windows\system32\d3d10_1core.dll
2012-02-10 05:41:20	161792	----a-w-	c:\windows\system32\d3d10_1.dll
2012-02-10 05:41:20	1170944	----a-w-	c:\windows\system32\d3d10warp.dll
2012-02-10 05:41:19	739840	----a-w-	c:\windows\system32\d2d1.dll
2012-02-03 04:01:58	2341376	----a-w-	c:\windows\system32\win32k.sys
2012-01-25 05:44:51	57856	----a-w-	c:\windows\system32\rdpwsx.dll
2012-01-25 05:44:50	129536	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-01-25 05:40:26	8192	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-01-04 00:48:42	354176	----a-w-	c:\windows\system32\DivXControlPanelApplet.cpl
.
============= FINISH: 23:03:18,14 ===============
         
--- --- ---


Im Anhang befinden sich die Dateien Attach und Gmer.

Alt 02.04.2012, 13:09   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ukash Virus - PC nun sauber ? - Standard

Ukash Virus - PC nun sauber ?



Zitat:
ich mich Malwarebytes einzusetzen, da es praktisch von jedem empfohlen und als effektiv eingestuft wurde. Ich ließ also das Programm mal alles durchscannen und habe dann einige Dateien gelöscht, die mir als infiziert erklärt wurden.
Ohne die Logs von Malwarebytes und Co wird das hier nichts.
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 05.04.2012, 12:53   #3
DannyH
 
Ukash Virus - PC nun sauber ? - Standard

Ukash Virus - PC nun sauber ?



Folgende Logfiles sind alle von Malwarebytes:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.01.13.04

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
xD :: XD-PC [limitiert]

Schutz: Aktiviert

29.03.2012 20:46:27
mbam-log-2012-03-29 (20-46-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 569104
Laufzeit: 1 Stunde(n), 23 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Casino Del Rio (PUP.Casino) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Noble Poker (PUP.Casino) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 15
C:\Users\xD\Downloads\SetupCasino.exe_8f12e1.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SoftonicDownloader_fuer_librecad.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt.
C:\Casino\Casino Del Rio\_SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Poker\Noble Poker\_SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\AppData\Roaming\658703.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\lD45103OeBbJ45103\lD45103OeBbJ45103.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\GTA 4\Grand Theft Auto IV\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
V:\Spiele\AoC\AoC-EU-EarlyAccess.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
V:\Users\dani\Downloads\GTA.IV.Crack.Securom.Bypass.Launcher.UBER-PROPER-FeD0R\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
V:\Users\dani\Downloads\keksfourgta\grand_theft_auto_crack\GTA.IV.Crack.Only.READNFO-0x0008\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Roaming\logs.dat (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.30.02

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
xD :: XD-PC [Administrator]

Schutz: Aktiviert

30.03.2012 14:17:06
mbam-log-2012-03-30 (14-17-06).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 584128
Laufzeit: 1 Stunde(n), 21 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Casino Del Rio (PUP.Casino) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Noble Poker (PUP.Casino) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\Users\xD\Downloads\SetupCasino.exe_8f12e1.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SoftonicDownloader_fuer_librecad.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt.
C:\Casino\Casino Del Rio\_SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Poker\Noble Poker\_SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt.
V:\Windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\misc.exe (Backdoor.Bifrose) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Code:
ATTFilter
2012/03/29 20:46:04 +0200	XD-PC	xD	MESSAGE	Starting protection
2012/03/29 20:46:07 +0200	XD-PC	xD	MESSAGE	Protection started successfully
2012/03/29 20:46:10 +0200	XD-PC	xD	MESSAGE	Starting IP protection
2012/03/29 20:46:10 +0200	XD-PC	xD	MESSAGE	IP Protection started successfully
2012/03/29 20:48:39 +0200	XD-PC	xD	MESSAGE	Executing scheduled update:  Daily
2012/03/29 20:48:39 +0200	XD-PC	xD	ERROR	Scheduled update failed:  No address found failed with error code 11004
         
Code:
ATTFilter
2012/03/30 14:13:29 +0200	XD-PC	xD	MESSAGE	IP Protection started successfully
2012/03/30 14:15:53 +0200	XD-PC	xD	IP-BLOCK	82.98.97.185 (Type: outgoing, Port: 49162, Process: svchost.exe)
2012/03/30 14:15:53 +0200	XD-PC	xD	IP-BLOCK	82.98.97.203 (Type: outgoing, Port: 49163, Process: svchost.exe)
2012/03/30 14:15:53 +0200	XD-PC	xD	IP-BLOCK	82.98.97.206 (Type: outgoing, Port: 49164, Process: svchost.exe)
2012/03/30 14:15:53 +0200	XD-PC	xD	IP-BLOCK	82.98.97.183 (Type: outgoing, Port: 49165, Process: svchost.exe)
2012/03/30 14:16:47 +0200	XD-PC	xD	MESSAGE	Starting database refresh
2012/03/30 14:16:47 +0200	XD-PC	xD	MESSAGE	Stopping IP protection
2012/03/30 14:17:42 +0200	XD-PC	xD	MESSAGE	IP Protection stopped
2012/03/30 14:17:44 +0200	XD-PC	xD	MESSAGE	Database refreshed successfully
2012/03/30 14:17:44 +0200	XD-PC	xD	MESSAGE	Starting IP protection
2012/03/30 14:17:44 +0200	XD-PC	xD	MESSAGE	IP Protection started successfully
2012/03/30 14:26:09 +0200	XD-PC	xD	IP-BLOCK	82.98.97.183 (Type: outgoing, Port: 49412, Process: svchost.exe)
2012/03/30 14:26:09 +0200	XD-PC	xD	IP-BLOCK	82.98.97.203 (Type: outgoing, Port: 49413, Process: svchost.exe)
2012/03/30 14:26:09 +0200	XD-PC	xD	IP-BLOCK	82.98.97.206 (Type: outgoing, Port: 49414, Process: svchost.exe)
2012/03/30 14:26:09 +0200	XD-PC	xD	IP-BLOCK	82.98.97.185 (Type: outgoing, Port: 49415, Process: svchost.exe)
2012/03/30 14:36:05 +0200	XD-PC	xD	IP-BLOCK	82.98.97.183 (Type: outgoing, Port: 49616, Process: svchost.exe)
2012/03/30 14:36:05 +0200	XD-PC	xD	IP-BLOCK	82.98.97.203 (Type: outgoing, Port: 49617, Process: svchost.exe)
2012/03/30 14:36:05 +0200	XD-PC	xD	IP-BLOCK	82.98.97.206 (Type: outgoing, Port: 49618, Process: svchost.exe)
2012/03/30 14:36:05 +0200	XD-PC	xD	IP-BLOCK	82.98.97.185 (Type: outgoing, Port: 49619, Process: svchost.exe)
2012/03/30 14:46:04 +0200	XD-PC	xD	IP-BLOCK	82.98.97.183 (Type: outgoing, Port: 50363, Process: svchost.exe)
2012/03/30 14:46:04 +0200	XD-PC	xD	IP-BLOCK	82.98.97.203 (Type: outgoing, Port: 50364, Process: svchost.exe)
2012/03/30 14:46:04 +0200	XD-PC	xD	IP-BLOCK	82.98.97.206 (Type: outgoing, Port: 50365, Process: svchost.exe)
2012/03/30 14:46:05 +0200	XD-PC	xD	IP-BLOCK	82.98.97.185 (Type: outgoing, Port: 50366, Process: svchost.exe)
2012/03/30 14:56:09 +0200	XD-PC	xD	IP-BLOCK	82.98.97.206 (Type: outgoing, Port: 50488, Process: svchost.exe)
2012/03/30 14:56:09 +0200	XD-PC	xD	IP-BLOCK	82.98.97.203 (Type: outgoing, Port: 50489, Process: svchost.exe)
2012/03/30 14:56:09 +0200	XD-PC	xD	IP-BLOCK	82.98.97.183 (Type: outgoing, Port: 50490, Process: svchost.exe)
2012/03/30 14:56:09 +0200	XD-PC	xD	IP-BLOCK	82.98.97.185 (Type: outgoing, Port: 50491, Process: svchost.exe)
2012/03/30 16:34:52 +0200	XD-PC	xD	MESSAGE	Starting protection
2012/03/30 16:34:56 +0200	XD-PC	xD	MESSAGE	Protection started successfully
2012/03/30 16:34:59 +0200	XD-PC	xD	MESSAGE	Starting IP protection
2012/03/30 16:35:00 +0200	XD-PC	xD	MESSAGE	IP Protection started successfully
2012/03/30 18:39:47 +0200	XD-PC	xD	IP-BLOCK	82.98.97.206 (Type: outgoing, Port: 49479, Process: svchost.exe)
2012/03/30 18:39:47 +0200	XD-PC	xD	IP-BLOCK	82.98.97.183 (Type: outgoing, Port: 49480, Process: svchost.exe)
2012/03/30 18:39:47 +0200	XD-PC	xD	IP-BLOCK	82.98.97.203 (Type: outgoing, Port: 49481, Process: svchost.exe)
2012/03/30 18:39:47 +0200	XD-PC	xD	IP-BLOCK	82.98.97.185 (Type: outgoing, Port: 49482, Process: svchost.exe)
2012/03/30 18:49:46 +0200	XD-PC	xD	IP-BLOCK	82.98.97.206 (Type: outgoing, Port: 49641, Process: svchost.exe)
2012/03/30 18:49:46 +0200	XD-PC	xD	IP-BLOCK	82.98.97.183 (Type: outgoing, Port: 49642, Process: svchost.exe)
2012/03/30 18:49:46 +0200	XD-PC	xD	IP-BLOCK	82.98.97.203 (Type: outgoing, Port: 49643, Process: svchost.exe)
2012/03/30 18:49:46 +0200	XD-PC	xD	IP-BLOCK	82.98.97.185 (Type: outgoing, Port: 49644, Process: svchost.exe)
2012/03/30 18:59:47 +0200	XD-PC	(null)	IP-BLOCK	82.98.97.206 (Type: outgoing, Port: 49684, Process: svchost.exe)
2012/03/30 18:59:47 +0200	XD-PC	(null)	IP-BLOCK	82.98.97.183 (Type: outgoing, Port: 49685, Process: svchost.exe)
2012/03/30 18:59:47 +0200	XD-PC	(null)	IP-BLOCK	82.98.97.203 (Type: outgoing, Port: 49686, Process: svchost.exe)
2012/03/30 18:59:47 +0200	XD-PC	(null)	IP-BLOCK	82.98.97.185 (Type: outgoing, Port: 49687, Process: svchost.exe)
2012/03/30 20:11:10 +0200	XD-PC	xD	MESSAGE	Starting protection
2012/03/30 20:11:13 +0200	XD-PC	xD	MESSAGE	Protection started successfully
2012/03/30 20:11:16 +0200	XD-PC	xD	MESSAGE	Starting IP protection
2012/03/30 20:11:17 +0200	XD-PC	xD	MESSAGE	IP Protection started successfully
2012/03/30 20:41:26 +0200	XD-PC	xD	IP-BLOCK	212.117.163.100 (Type: outgoing, Port: 50067, Process: avastsvc.exe)
2012/03/30 20:41:26 +0200	XD-PC	xD	IP-BLOCK	212.117.163.100 (Type: outgoing, Port: 50068, Process: avastsvc.exe)
2012/03/30 20:41:26 +0200	XD-PC	xD	IP-BLOCK	212.117.163.100 (Type: outgoing, Port: 50072, Process: avastsvc.exe)
2012/03/30 20:41:26 +0200	XD-PC	xD	IP-BLOCK	212.117.163.100 (Type: outgoing, Port: 50073, Process: avastsvc.exe)
         
__________________

Alt 05.04.2012, 14:09   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ukash Virus - PC nun sauber ? - Standard

Ukash Virus - PC nun sauber ?



Zitat:
V:\Users\dani\Downloads\GTA.IV.Crack.Securom.Bypass.Launcher.UBER-PROPER-FeD0R\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
V:\Users\dani\Downloads\keksfourgta\grand_theft_auto_crack\GTA.IV.Crack.Only.READNFO-0x0008\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Roaming\logs.dat (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Du hast dir dein System leider selbst mit Cracks verhunzt!

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.04.2012, 23:14   #5
DannyH
 
Ukash Virus - PC nun sauber ? - Standard

Ukash Virus - PC nun sauber ?



Ich muss dich leider enttäuschen, aber diese Cracks sind etwas über 3 Jahre alt und nicht einmal auf meiner aktuell genützten Partition (Dualboot, die Dateien wovon du sprichst befinden sich auf einer alten Vista Partition).

Ich kann also mit 100 % iger Wahrscheinlichkeit sagen, dass diese rein GARNICHTS mit meinem Virus Problem zu tun haben.

Ich hätte diese Zeilen durchaus entfernen können bevor ich die Logs hier gepostet hätte, aber da ich mich um kompetente Hilfe bemühe, hatte ich geplant alles nach Vorschrift zu posten und nicht zu versuchen etwas zu "vertuschen".


Geändert von DannyH (05.04.2012 um 23:33 Uhr)

Alt 06.04.2012, 14:17   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ukash Virus - PC nun sauber ? - Standard

Ukash Virus - PC nun sauber ?



Zitat:
Ich kann also mit 100 % iger Wahrscheinlichkeit sagen, dass diese rein GARNICHTS mit meinem Virus Problem zu tun haben.
Solche und ähnliche Ausflüchte lese ich immer wieder.
Das ist irrelvant, denn es ändert nichts daran, dass wir die Regel hier haben http://www.trojaner-board.de/95393-c...-software.html
__________________
--> Ukash Virus - PC nun sauber ?

Alt 06.04.2012, 14:29   #7
DannyH
 
Ukash Virus - PC nun sauber ? - Standard

Ukash Virus - PC nun sauber ?



Ich sehe zwar nicht inwiefern das eine Ausflucht sein soll, aber ich kann deine Reaktion vollkommen nachvollziehen.

Wenn es eine Möglichkeit gäbe dir zu beweisen, dass diese Cracks bereits über 3 Jahre alt sind würde ich es tun, aber es würde an dem ganzen nichts ändern, also belassen wir es dabei.

Mein Fehler, hätte besser aufpassen sollen, ich such mir woanders Hilfe.


Machs gut und trotzdem danke für deine Bemühungen.

Alt 06.04.2012, 15:10   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Ukash Virus - PC nun sauber ? - Standard

Ukash Virus - PC nun sauber ?



Na, wir hören immer wieder sowas wie "die Cracks haben nichts mit dem Problem zu tun" oder "die sind schon ewig drauf" etc. pp. - alles schon 1000x Mal gehört.

Besonders diese Funde:

Zitat:
C:\Users\xD\AppData\Roaming\logs.dat (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Seh ich häufiger wenn Cracks/Keygens ausgeführt wurden und an diesen ein schöner Backdoor klebte. Dein System wurde dann damals schon kompromittiert nur hast du es bis jetzt wohl noch nicht bemerkt

Wirklich, du solltest eine Neuinstallation machen. Dabei helfe auch noch und auch beim Daten sichern über eine Live-CD.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Ukash Virus - PC nun sauber ?
acrobat update, adblock, adobe, antivirus, avast, datei gelöscht, dateien gelöscht, defender, entfernen, exe, explorer, firefox, frage, google, google earth, infiziert, mozilla, online banking, pdf, plug-in, problem, programm, realtek, security, security scan, seiten, software, stichwort, svchost.exe, ukash virus, virus, windows, wmp, ändern




Ähnliche Themen: Ukash Virus - PC nun sauber ?


  1. BKA/UKASH Virus
    Plagegeister aller Art und deren Bekämpfung - 01.07.2013 (8)
  2. Ukash-Virus
    Log-Analyse und Auswertung - 11.01.2013 (7)
  3. Ukash Virus
    Plagegeister aller Art und deren Bekämpfung - 17.10.2012 (15)
  4. UKash Virus
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (2)
  5. Ukash bei Kinox eingefangen, Wiederherstellungspunkt erstellt - ist das System sauber ?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (9)
  6. GVU UKash Trojaner sauber entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.09.2012 (11)
  7. Ukash Virus?
    Plagegeister aller Art und deren Bekämpfung - 30.08.2012 (23)
  8. Ukash Virus
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (3)
  9. Virus blockiert PC! Gema Bundestrojaner Virus - 50 euro Ukash?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (4)
  10. BKA / ukash / fakealert.AP - wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 05.04.2012 (8)
  11. Facebook jpg.scr Virus - PC wieder sauber?
    Plagegeister aller Art und deren Bekämpfung - 14.12.2011 (4)
  12. ukash/BKA - Virus
    Log-Analyse und Auswertung - 14.12.2011 (36)
  13. BKA Virus - Ukash 100€
    Log-Analyse und Auswertung - 24.11.2011 (22)
  14. System nach Bereinigung des Ukash-Trojaners sauber?
    Log-Analyse und Auswertung - 26.10.2011 (1)
  15. BKA-Ukash-virus
    Log-Analyse und Auswertung - 21.05.2011 (83)
  16. BKA-Ukash Virus
    Mülltonne - 27.04.2011 (3)
  17. Virus? logfile daten sauber?
    Log-Analyse und Auswertung - 05.05.2010 (1)

Zum Thema Ukash Virus - PC nun sauber ? - Mein Problem ist Folgendes: Gestern Abend habe ich mir - woher ist mir schleierhaft - den "Bundespolizei Virus" geholt. Ich gehe davon aus, dass die meisten wissen wovon ich rede. - Ukash Virus - PC nun sauber ?...
Archiv
Du betrachtest: Ukash Virus - PC nun sauber ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.