|
Plagegeister aller Art und deren Bekämpfung: Ukash Virus - PC nun sauber ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.03.2012, 13:42 | #1 |
| Ukash Virus - PC nun sauber ? Mein Problem ist Folgendes: Gestern Abend habe ich mir - woher ist mir schleierhaft - den "Bundespolizei Virus" geholt. Ich gehe davon aus, dass die meisten wissen wovon ich rede. Jedenfalls habe ich daraufhin den PC im Safe Modus gestartet und sofort eine Systemwiederherstellung durchgeführt. Siehe da der PC läuft wieder im normalen Modus. Nachdem ich mich über Google etwas eingelesen hatte, entschloss ich mich Malwarebytes einzusetzen, da es praktisch von jedem empfohlen und als effektiv eingestuft wurde. Ich ließ also das Programm mal alles durchscannen und habe dann einige Dateien gelöscht, die mir als infiziert erklärt wurden. Ende des gestrigen Tages. Heute das Programm nochmal drüber laufen lassen und nochmal eine Datei gelöscht (eventuell hatte ich die am Vortag übersehen anzuhaken). Dann fand ich heraus, dass durch die Systemwiederherstellung mein Avast stoppte zu funktionieren, also neuen Client gezogen und so wie ich das hier schreibe lasse ich den ebenfalls nochmals alles durchscannen. Ich habe bereits auf diversen Seiten gelesen, dass gewisse Einträge im regedit zu ändern seien (Stichwort Shell), bzw. Exen wie jashla und weitere (aus Autostart) zu entfernen seien, allerdings finde ich weder das eine noch das andere auf meinem PC. Nun stelle ich mir die Frage - sollte Avast nichts finden, bin ich das Übel dann los ? Ich will mir absolut sicher sein bevor ich mich das nächste mal an Online Banking traue. DDS: Code:
ATTFilter DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 8.0.7600.16385 BrowserJavaVersion: 1.6.0_26 Run by xD at 23:02:34 on 2012-03-30 Microsoft Windows 7 Ultimate 6.1.7600.0.1252.43.1033.18.3326.2245 [GMT 2:00] . AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C} SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . ============== Running Processes =============== . C:\Windows\system32\wininit.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe -k DcomLaunch C:\Windows\system32\svchost.exe -k RPCSS C:\Windows\system32\atiesrxx.exe C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\system32\svchost.exe -k netsvcs C:\Program Files\Creative\Shared Files\CTAudSvc.exe C:\Windows\system32\svchost.exe -k LocalService C:\Windows\system32\atieclxx.exe C:\Windows\system32\svchost.exe -k NetworkService C:\Program Files\Alwil Software\Avast5\AvastSvc.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation C:\Windows\system32\PnkBstrA.exe C:\Windows\system32\svchost.exe -k imgsvc C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe C:\Windows\system32\WUDFHost.exe C:\Windows\system32\taskhost.exe C:\Windows\system32\sppsvc.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Creative\Volume Panel\VolPanlu.exe C:\Program Files\Logitech\GamePanel Software\LGDevAgt.exe C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe C:\Program Files\Microsoft IntelliPoint\ipoint.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe C:\Program Files\DivX\DivX Update\DivXUpdate.exe C:\Program Files\Alwil Software\Avast5\AvastUI.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\SYSTEM32\CTXFISPI.EXE C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Windows\system32\SearchIndexer.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Program Files\Mozilla Firefox\New_Firefox\firefox.exe C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe C:\Windows\System32\svchost.exe -k secsvcs C:\Windows\system32\wuauclt.exe C:\Windows\system32\taskhost.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\conhost.exe . ============== Pseudo HJT Report =============== . uInternet Settings,ProxyOverride = *.local uURLSearchHooks: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll mURLSearchHooks: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\program files\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\alwil software\avast5\aswWebRepIE.dll BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll BHO: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll BHO: FrostWire Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\program files\ask.com\GenericAskToolbar.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll TB: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll TB: FrostWire Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\program files\ask.com\GenericAskToolbar.dll TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\alwil software\avast5\aswWebRepIE.dll EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun uRun: [Google Update] "c:\users\xd\appdata\local\google\update\GoogleUpdate.exe" /c uRun: [AdobeUpdater] "c:\program files\common files\adobe\updater5\AdobeUpdater.exe" mRun: [VolPanel] "c:\program files\creative\volume panel\VolPanlu.exe" /r mRun: [Launch LgDeviceAgent] "c:\program files\logitech\gamepanel software\LgDevAgt.exe" mRun: [Launch LGDCore] "c:\program files\logitech\gamepanel software\g-series software\LGDCore.exe" /SHOWHIDE mRun: [IntelliPoint] "c:\program files\microsoft intellipoint\ipoint.exe" mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe" mRun: [Acrobat Assistant 8.0] "c:\program files\adobe\acrobat 8.0\acrobat\Acrotray.exe" mRun: [<NO NAME>] mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe" mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe" mRun: [DivXUpdate] "c:\program files\divx\divx update\DivXUpdate.exe" /CHECKNOW mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray mRun: [avast] "c:\program files\alwil software\avast5\avastUI.exe" /nogui StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\adobea~1.lnk - c:\windows\installer\{ac76ba86-1033-f400-7760-000000000003}\_SC_Acrobat.exe mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5) mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3) mPolicies-system: EnableUIADesktopToggle = 0 (0x0) IE: An vorhandenes PDF anfügen - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~3\office12\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: {88EB38EF-4D2C-436D-ABD3-56B232674062} - c:\program files\icq7.0\ICQ.exe IE: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\users\xd\desktop\PartyPoker.lnk IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~3\office12\ONBttnIE.dll IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office12\REFIEBAR.DLL DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab TCP: DhcpNameServer = 10.0.0.138 TCP: Interfaces\{0D1A59D9-D8AF-45AD-A6EB-3C8993869D16} : DhcpNameServer = 10.0.0.138 Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll . ================= FIREFOX =================== . FF - ProfilePath - c:\users\xd\appdata\roaming\mozilla\firefox\profiles\m7tdh9jh.default\ FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll FF - plugin: c:\program files\divx\divx ovs helper\npovshelper.dll FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\users\xd\appdata\local\google\google earth\plugin\npgeplugin.dll FF - plugin: c:\users\xd\appdata\local\google\update\1.3.21.111\npGoogleUpdate3.dll FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\mozilla firefox\new_firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\mozilla firefox\new_firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\divx\divx plus web player\firefox\DivXHTML5 FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\alwil software\avast5\webrep\FF . ============= SERVICES / DRIVERS =============== . R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2012-3-30 612184] R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-1-9 337880] R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952] R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-3-3 172032] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-1-9 20696] R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-1-9 57688] R2 avast! Antivirus;avast! Antivirus;c:\program files\alwil software\avast5\AvastSvc.exe [2010-3-18 44768] R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-3-29 652360] R2 TeamViewer7;TeamViewer 7;c:\program files\teamviewer\version7\TeamViewer_Service.exe [2012-2-19 3027840] R3 amdkmdag;amdkmdag;c:\windows\system32\drivers\atipmdag.sys [2010-3-3 5340160] R3 amdkmdap;amdkmdap;c:\windows\system32\drivers\atikmpag.sys [2010-3-3 152064] R3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\system32\drivers\CT20XUT.sys [2009-6-4 171032] R3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\system32\drivers\CTEXFIFX.sys [2009-6-4 1324056] R3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\system32\drivers\CTHWIUT.sys [2009-6-4 72728] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-3-29 20464] R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2009-6-10 139776] S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-8-28 136176] S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888] S3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files\common files\creative labs shared\service\AL6Licensing.exe [2010-1-9 79360] S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\common files\creative labs shared\service\CTAELicensing.exe [2010-1-9 79360] S3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.sys [2009-6-4 171032] S3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.sys [2009-6-4 1324056] S3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.sys [2009-6-4 72728] S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2010-8-28 136176] S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232] S3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\wat\WatAdminSvc.exe [2012-3-30 1343400] . =============== Created Last 30 ================ . . ==================== Find3M ==================== . 2012-03-06 23:15:19 41184 ----a-w- c:\windows\avastSS.scr 2012-03-06 23:03:51 612184 ----a-w- c:\windows\system32\drivers\aswSnx.sys 2012-03-06 23:02:14 44376 ----a-w- c:\windows\system32\drivers\aswRdr2.sys 2012-03-06 23:01:48 57688 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys 2012-02-23 07:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe 2012-02-15 05:44:57 826368 ----a-w- c:\windows\system32\rdpcore.dll 2012-02-15 04:22:43 177152 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2012-02-15 04:22:18 24064 ----a-w- c:\windows\system32\drivers\tdtcp.sys 2012-02-10 05:41:38 1074176 ----a-w- c:\windows\system32\DWrite.dll 2012-02-10 05:41:20 218624 ----a-w- c:\windows\system32\d3d10_1core.dll 2012-02-10 05:41:20 161792 ----a-w- c:\windows\system32\d3d10_1.dll 2012-02-10 05:41:20 1170944 ----a-w- c:\windows\system32\d3d10warp.dll 2012-02-10 05:41:19 739840 ----a-w- c:\windows\system32\d2d1.dll 2012-02-03 04:01:58 2341376 ----a-w- c:\windows\system32\win32k.sys 2012-01-25 05:44:51 57856 ----a-w- c:\windows\system32\rdpwsx.dll 2012-01-25 05:44:50 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll 2012-01-25 05:40:26 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe 2012-01-04 00:48:42 354176 ----a-w- c:\windows\system32\DivXControlPanelApplet.cpl . ============= FINISH: 23:03:18,14 =============== Im Anhang befinden sich die Dateien Attach und Gmer. |
02.04.2012, 13:09 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ukash Virus - PC nun sauber ?Zitat:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ |
05.04.2012, 12:53 | #3 |
| Ukash Virus - PC nun sauber ? Folgende Logfiles sind alle von Malwarebytes:
__________________Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.01.13.04 Windows 7 x86 NTFS Internet Explorer 8.0.7600.16385 xD :: XD-PC [limitiert] Schutz: Aktiviert 29.03.2012 20:46:27 mbam-log-2012-03-29 (20-46-27).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 569104 Laufzeit: 1 Stunde(n), 23 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 3 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Casino Del Rio (PUP.Casino) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Noble Poker (PUP.Casino) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 15 C:\Users\xD\Downloads\SetupCasino.exe_8f12e1.exe (PUP.Casino) -> Keine Aktion durchgeführt. C:\Users\xD\Downloads\SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt. C:\Users\xD\Downloads\SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt. C:\Users\xD\Downloads\SoftonicDownloader_fuer_librecad.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt. C:\Casino\Casino Del Rio\_SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt. C:\Poker\Noble Poker\_SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt. C:\Users\xD\AppData\Roaming\658703.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\lD45103OeBbJ45103\lD45103OeBbJ45103.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. E:\GTA 4\Grand Theft Auto IV\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt. V:\Spiele\AoC\AoC-EU-EarlyAccess.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt. V:\Users\dani\Downloads\GTA.IV.Crack.Securom.Bypass.Launcher.UBER-PROPER-FeD0R\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt. V:\Users\dani\Downloads\keksfourgta\grand_theft_auto_crack\GTA.IV.Crack.Only.READNFO-0x0008\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\xD\AppData\Roaming\logs.dat (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\xD\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\xD\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.03.30.02 Windows 7 x86 NTFS Internet Explorer 8.0.7600.16385 xD :: XD-PC [Administrator] Schutz: Aktiviert 30.03.2012 14:17:06 mbam-log-2012-03-30 (14-17-06).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 584128 Laufzeit: 1 Stunde(n), 21 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Casino Del Rio (PUP.Casino) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Noble Poker (PUP.Casino) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 7 C:\Users\xD\Downloads\SetupCasino.exe_8f12e1.exe (PUP.Casino) -> Keine Aktion durchgeführt. C:\Users\xD\Downloads\SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt. C:\Users\xD\Downloads\SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt. C:\Users\xD\Downloads\SoftonicDownloader_fuer_librecad.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt. C:\Casino\Casino Del Rio\_SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt. C:\Poker\Noble Poker\_SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt. V:\Windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\misc.exe (Backdoor.Bifrose) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter 2012/03/29 20:46:04 +0200 XD-PC xD MESSAGE Starting protection 2012/03/29 20:46:07 +0200 XD-PC xD MESSAGE Protection started successfully 2012/03/29 20:46:10 +0200 XD-PC xD MESSAGE Starting IP protection 2012/03/29 20:46:10 +0200 XD-PC xD MESSAGE IP Protection started successfully 2012/03/29 20:48:39 +0200 XD-PC xD MESSAGE Executing scheduled update: Daily 2012/03/29 20:48:39 +0200 XD-PC xD ERROR Scheduled update failed: No address found failed with error code 11004 Code:
ATTFilter 2012/03/30 14:13:29 +0200 XD-PC xD MESSAGE IP Protection started successfully 2012/03/30 14:15:53 +0200 XD-PC xD IP-BLOCK 82.98.97.185 (Type: outgoing, Port: 49162, Process: svchost.exe) 2012/03/30 14:15:53 +0200 XD-PC xD IP-BLOCK 82.98.97.203 (Type: outgoing, Port: 49163, Process: svchost.exe) 2012/03/30 14:15:53 +0200 XD-PC xD IP-BLOCK 82.98.97.206 (Type: outgoing, Port: 49164, Process: svchost.exe) 2012/03/30 14:15:53 +0200 XD-PC xD IP-BLOCK 82.98.97.183 (Type: outgoing, Port: 49165, Process: svchost.exe) 2012/03/30 14:16:47 +0200 XD-PC xD MESSAGE Starting database refresh 2012/03/30 14:16:47 +0200 XD-PC xD MESSAGE Stopping IP protection 2012/03/30 14:17:42 +0200 XD-PC xD MESSAGE IP Protection stopped 2012/03/30 14:17:44 +0200 XD-PC xD MESSAGE Database refreshed successfully 2012/03/30 14:17:44 +0200 XD-PC xD MESSAGE Starting IP protection 2012/03/30 14:17:44 +0200 XD-PC xD MESSAGE IP Protection started successfully 2012/03/30 14:26:09 +0200 XD-PC xD IP-BLOCK 82.98.97.183 (Type: outgoing, Port: 49412, Process: svchost.exe) 2012/03/30 14:26:09 +0200 XD-PC xD IP-BLOCK 82.98.97.203 (Type: outgoing, Port: 49413, Process: svchost.exe) 2012/03/30 14:26:09 +0200 XD-PC xD IP-BLOCK 82.98.97.206 (Type: outgoing, Port: 49414, Process: svchost.exe) 2012/03/30 14:26:09 +0200 XD-PC xD IP-BLOCK 82.98.97.185 (Type: outgoing, Port: 49415, Process: svchost.exe) 2012/03/30 14:36:05 +0200 XD-PC xD IP-BLOCK 82.98.97.183 (Type: outgoing, Port: 49616, Process: svchost.exe) 2012/03/30 14:36:05 +0200 XD-PC xD IP-BLOCK 82.98.97.203 (Type: outgoing, Port: 49617, Process: svchost.exe) 2012/03/30 14:36:05 +0200 XD-PC xD IP-BLOCK 82.98.97.206 (Type: outgoing, Port: 49618, Process: svchost.exe) 2012/03/30 14:36:05 +0200 XD-PC xD IP-BLOCK 82.98.97.185 (Type: outgoing, Port: 49619, Process: svchost.exe) 2012/03/30 14:46:04 +0200 XD-PC xD IP-BLOCK 82.98.97.183 (Type: outgoing, Port: 50363, Process: svchost.exe) 2012/03/30 14:46:04 +0200 XD-PC xD IP-BLOCK 82.98.97.203 (Type: outgoing, Port: 50364, Process: svchost.exe) 2012/03/30 14:46:04 +0200 XD-PC xD IP-BLOCK 82.98.97.206 (Type: outgoing, Port: 50365, Process: svchost.exe) 2012/03/30 14:46:05 +0200 XD-PC xD IP-BLOCK 82.98.97.185 (Type: outgoing, Port: 50366, Process: svchost.exe) 2012/03/30 14:56:09 +0200 XD-PC xD IP-BLOCK 82.98.97.206 (Type: outgoing, Port: 50488, Process: svchost.exe) 2012/03/30 14:56:09 +0200 XD-PC xD IP-BLOCK 82.98.97.203 (Type: outgoing, Port: 50489, Process: svchost.exe) 2012/03/30 14:56:09 +0200 XD-PC xD IP-BLOCK 82.98.97.183 (Type: outgoing, Port: 50490, Process: svchost.exe) 2012/03/30 14:56:09 +0200 XD-PC xD IP-BLOCK 82.98.97.185 (Type: outgoing, Port: 50491, Process: svchost.exe) 2012/03/30 16:34:52 +0200 XD-PC xD MESSAGE Starting protection 2012/03/30 16:34:56 +0200 XD-PC xD MESSAGE Protection started successfully 2012/03/30 16:34:59 +0200 XD-PC xD MESSAGE Starting IP protection 2012/03/30 16:35:00 +0200 XD-PC xD MESSAGE IP Protection started successfully 2012/03/30 18:39:47 +0200 XD-PC xD IP-BLOCK 82.98.97.206 (Type: outgoing, Port: 49479, Process: svchost.exe) 2012/03/30 18:39:47 +0200 XD-PC xD IP-BLOCK 82.98.97.183 (Type: outgoing, Port: 49480, Process: svchost.exe) 2012/03/30 18:39:47 +0200 XD-PC xD IP-BLOCK 82.98.97.203 (Type: outgoing, Port: 49481, Process: svchost.exe) 2012/03/30 18:39:47 +0200 XD-PC xD IP-BLOCK 82.98.97.185 (Type: outgoing, Port: 49482, Process: svchost.exe) 2012/03/30 18:49:46 +0200 XD-PC xD IP-BLOCK 82.98.97.206 (Type: outgoing, Port: 49641, Process: svchost.exe) 2012/03/30 18:49:46 +0200 XD-PC xD IP-BLOCK 82.98.97.183 (Type: outgoing, Port: 49642, Process: svchost.exe) 2012/03/30 18:49:46 +0200 XD-PC xD IP-BLOCK 82.98.97.203 (Type: outgoing, Port: 49643, Process: svchost.exe) 2012/03/30 18:49:46 +0200 XD-PC xD IP-BLOCK 82.98.97.185 (Type: outgoing, Port: 49644, Process: svchost.exe) 2012/03/30 18:59:47 +0200 XD-PC (null) IP-BLOCK 82.98.97.206 (Type: outgoing, Port: 49684, Process: svchost.exe) 2012/03/30 18:59:47 +0200 XD-PC (null) IP-BLOCK 82.98.97.183 (Type: outgoing, Port: 49685, Process: svchost.exe) 2012/03/30 18:59:47 +0200 XD-PC (null) IP-BLOCK 82.98.97.203 (Type: outgoing, Port: 49686, Process: svchost.exe) 2012/03/30 18:59:47 +0200 XD-PC (null) IP-BLOCK 82.98.97.185 (Type: outgoing, Port: 49687, Process: svchost.exe) 2012/03/30 20:11:10 +0200 XD-PC xD MESSAGE Starting protection 2012/03/30 20:11:13 +0200 XD-PC xD MESSAGE Protection started successfully 2012/03/30 20:11:16 +0200 XD-PC xD MESSAGE Starting IP protection 2012/03/30 20:11:17 +0200 XD-PC xD MESSAGE IP Protection started successfully 2012/03/30 20:41:26 +0200 XD-PC xD IP-BLOCK 212.117.163.100 (Type: outgoing, Port: 50067, Process: avastsvc.exe) 2012/03/30 20:41:26 +0200 XD-PC xD IP-BLOCK 212.117.163.100 (Type: outgoing, Port: 50068, Process: avastsvc.exe) 2012/03/30 20:41:26 +0200 XD-PC xD IP-BLOCK 212.117.163.100 (Type: outgoing, Port: 50072, Process: avastsvc.exe) 2012/03/30 20:41:26 +0200 XD-PC xD IP-BLOCK 212.117.163.100 (Type: outgoing, Port: 50073, Process: avastsvc.exe) |
05.04.2012, 14:09 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ukash Virus - PC nun sauber ?Zitat:
Siehe auch => http://www.trojaner-board.de/95393-c...-software.html Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden. Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________ Logfiles bitte immer in CODE-Tags posten |
05.04.2012, 23:14 | #5 |
| Ukash Virus - PC nun sauber ? Ich muss dich leider enttäuschen, aber diese Cracks sind etwas über 3 Jahre alt und nicht einmal auf meiner aktuell genützten Partition (Dualboot, die Dateien wovon du sprichst befinden sich auf einer alten Vista Partition). Ich kann also mit 100 % iger Wahrscheinlichkeit sagen, dass diese rein GARNICHTS mit meinem Virus Problem zu tun haben. Ich hätte diese Zeilen durchaus entfernen können bevor ich die Logs hier gepostet hätte, aber da ich mich um kompetente Hilfe bemühe, hatte ich geplant alles nach Vorschrift zu posten und nicht zu versuchen etwas zu "vertuschen". Geändert von DannyH (05.04.2012 um 23:33 Uhr) |
06.04.2012, 14:17 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ukash Virus - PC nun sauber ?Zitat:
Das ist irrelvant, denn es ändert nichts daran, dass wir die Regel hier haben http://www.trojaner-board.de/95393-c...-software.html
__________________ --> Ukash Virus - PC nun sauber ? |
06.04.2012, 14:29 | #7 |
| Ukash Virus - PC nun sauber ? Ich sehe zwar nicht inwiefern das eine Ausflucht sein soll, aber ich kann deine Reaktion vollkommen nachvollziehen. Wenn es eine Möglichkeit gäbe dir zu beweisen, dass diese Cracks bereits über 3 Jahre alt sind würde ich es tun, aber es würde an dem ganzen nichts ändern, also belassen wir es dabei. Mein Fehler, hätte besser aufpassen sollen, ich such mir woanders Hilfe. Machs gut und trotzdem danke für deine Bemühungen. |
06.04.2012, 15:10 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Ukash Virus - PC nun sauber ? Na, wir hören immer wieder sowas wie "die Cracks haben nichts mit dem Problem zu tun" oder "die sind schon ewig drauf" etc. pp. - alles schon 1000x Mal gehört. Besonders diese Funde: Zitat:
Wirklich, du solltest eine Neuinstallation machen. Dabei helfe auch noch und auch beim Daten sichern über eine Live-CD.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Ukash Virus - PC nun sauber ? |
acrobat update, adblock, adobe, antivirus, avast, datei gelöscht, dateien gelöscht, defender, entfernen, exe, explorer, firefox, frage, google, google earth, infiziert, mozilla, online banking, pdf, plug-in, problem, programm, realtek, security, security scan, seiten, software, stichwort, svchost.exe, ukash virus, virus, windows, wmp, ändern |