| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 50€-Trojaner "Suspicious.Cloud.7.EP"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.04.2012, 13:09
| #1 |
 |  50€-Trojaner "Suspicious.Cloud.7.EP" Schönen guten Tag, ich habe mir am 29.03 leider den o.g. Trojaner/Virus eingefangen und versuche diesen nun wieder von meinem System zu bekommen. WIN XP Professional Service Pack 3 Norton Internet Security 2012 50€-Seite erschien plötzlich während des surfens im Internet. Da keine Befehlseingabe möglich war, habe ich den Rechner "abgewürgt". Der sofortige Scan mit dem aktuellen Norton Internet Security 2012 brachte keine Ergebinsse. Auch der Norton Power Eraser fand keine Auffälligkeiten. CC-Cleaner gestartet und anschließend Neustart des Rechners. Norton Auto Protect fand im Anschluss nach jedem Neustart den "Suspicious.Cloud.7.EP und hat diesen laut dem Sicherheitsverlauf unter "behobene Sicherheitsrisiken" behoben. Seit dem erscheint die 50€Seite nicht mehr,a ber ich befürchte, dass dieser Trojaner noch auf meinem Rechner ist. Viele Internetseiten lassen sich problemlos aufrufen, andere fast überhaupt nicht. z.B. Bild.de, google und auch das Trojaner-Board.de laden sich nicht, oder erst nach 5 - 6 Min. Daher poste ich mein Problem über einen anderen Rechner (Laptop) Für Unterstützung bedanke ich mich bereits im Voraus toni_ks dds.txt: .DDS Logfile: Code:
ATTFilter DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by Dirk at 11:18:09 on 2012-04-01
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.443 [GMT 2:00]
.
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Microsoft IntelliType Pro\dpupdchk.exe
C:\Programme\T-Home\Eumex 800 V1.30\ControlCenter.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
svchost.exe
C:\Programme\Memeo\AutoBackup\MemeoService.exe
C:\WINDOWS\system32\svchost.exe -k bthsvcs
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\WINDOWS\system32\svchost.exe -k HPService
D:\Programme\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe -k HPZ12
D:\Programme\Norton Internet Security\Engine\19.6.2.10\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\system32\rvs_cent.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\SearchIndexer.exe
D:\Programme\Norton Internet Security\Engine\19.6.2.10\ccSvcHst.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\CTIL2C32.EXE
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.t-online.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - d:\programme\hp\digital imaging\smart web printing\hpswp_printenhancer.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Norton Identity Protection: {602adb0e-4aff-4217-8aa1-95dac4dfa408} - d:\programme\norton internet security\engine\19.6.2.10\coIEPlg.dll
BHO: Norton Vulnerability Protection: {6d53ec84-6aae-4787-aeee-f4628f01010c} - d:\programme\norton internet security\engine\19.6.2.10\ips\IPSBHO.DLL
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - d:\programme\microsoft office\office12\GrooveShellExtensions.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - d:\programme\bin\ssv.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.7227.1100\swg.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - d:\programme\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - d:\programme\lib\deploy\jqs\ie\jqs_plugin.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - d:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
TB: Norton Toolbar: {7febefe3-6b19-4349-98d2-ffb09d4b49ca} - d:\programme\norton internet security\engine\19.6.2.10\coIEPlg.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\GoogleToolbar_32.dll
TB: {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No File
TB: {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
EB: HP Smart Web Printing: {555d4d79-4bd2-4094-a395-cfc534424a05} - d:\programme\hp\digital imaging\smart web printing\hpswp_bho.dll
uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRunOnce: [Shockwave Updater] c:\windows\system32\adobe\shockw~1\SWHELP~1.EXE -Update -1100458 -Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB0.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; InfoPath.2; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
mRun: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
mRun: [StartCCC] "c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [osCheck] "c:\programme\neuer ordner\osCheck.exe"
mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
mRun: [itype] "c:\programme\microsoft intellitype pro\itype.exe"
mRun: [IntelliPoint] "c:\programme\microsoft intellipoint\ipoint.exe"
mRun: [HP Software Update] d:\programme\hp\hp software update\HPWuSchd2.exe
mRun: [GrooveMonitor] "d:\programme\microsoft office\office12\GrooveMonitor.exe"
mRun: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
mRun: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
mRun: [ATIPTA] "c:\programme\ati technologies\ati control panel\atiptaxx.exe"
mRun: [Adobe Reader Speed Launcher] "d:\programme\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\contro~1.lnk - c:\programme\t-home\eumex 800 v1.30\ControlCenter.exe
IE: Nach Microsoft &Excel exportieren - d:\progra~1\micros~1\office11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - d:\progra~1\micros~1\office12\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - d:\progra~1\micros~1\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - d:\progra~1\micros~1\office12\REFIEBAR.DLL
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - d:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
DPF: {15B782AF-55D8-11D1-B477-006097098764} - hxxp://download.macromedia.com/pub/shockwave/cabs/authorware/awswaxf.cab
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=39204
DPF: {233C1507-6A77-46A4-9443-F871F945D258} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} - hxxp://office.microsoft.com/officeupdate/content/opuc4.cab
DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{0DB98F81-A686-462A-A8B9-6E61A029814D} : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{47268916-77B3-43BD-837D-902335DAE126} : DhcpNameServer = 192.168.1.250
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - d:\programme\microsoft office\office12\GrooveSystemServices.dll
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - d:\programme\microsoft office\office12\GrooveShellExtensions.dll
SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\programme\windows desktop search\MSNLNamespaceMgr.dll
.
============= SERVICES / DRIVERS ===============
.
R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [2010-12-16 40560]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\nis\1306020.00a\symds.sys [2012-3-24 340088]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\nis\1306020.00a\symefa.sys [2012-3-24 905336]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\all users\anwendungsdaten\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_19.1.0.28\definitions\bashdefs\20120317.002\BHDrvx86.sys [2012-3-20 820856]
R1 ccSet_NIS;Norton Internet Security Settings Manager;c:\windows\system32\drivers\nis\1306020.00a\ccsetx86.sys [2012-3-24 132744]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\nis\1306020.00a\ironx86.sys [2012-3-24 149624]
R2 elcapi20;elcapi20;c:\windows\system32\drivers\ELCAPI20.SYS [2009-10-29 156112]
R2 elcapibs;elcapibs;c:\windows\system32\drivers\elcapibs.sys [2009-10-29 118381]
R2 elcapitd;elcapitd;c:\windows\system32\drivers\elcapitd.sys [2009-10-29 42344]
R2 NIS;Norton Internet Security;d:\programme\norton internet security\engine\19.6.2.10\ccsvchst.exe [2012-3-24 138232]
R2 RVS_CE;RVS CAPI;c:\windows\system32\RVS_CENT.EXE [2009-10-29 1175608]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-7-20 1287296]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\gemeinsame dateien\symantec shared\eengine\EraserUtilRebootDrv.sys [2012-3-8 106104]
R3 fwrnusb;fwrnusb;c:\windows\system32\drivers\fwrnusb.sys [2006-1-30 23552]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\all users\anwendungsdaten\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_19.1.0.28\definitions\ipsdefs\20120330.002\IDSXpx86.sys [2012-3-31 356280]
R3 NAVENG;NAVENG;c:\dokumente und einstellungen\all users\anwendungsdaten\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_19.1.0.28\definitions\virusdefs\20120331.009\NAVENG.SYS [2012-4-1 86136]
R3 NAVEX15;NAVEX15;c:\dokumente und einstellungen\all users\anwendungsdaten\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_19.1.0.28\definitions\virusdefs\20120331.009\NAVEX15.SYS [2012-4-1 1576312]
R3 TSMPacket;DSL-Manager Service;c:\windows\system32\drivers\tsmpkt.sys [2009-10-29 13824]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\symantec\liveupdate\aluschedulersvc.exe" --> c:\programme\symantec\liveupdate\ALUSchedulerSvc.exe [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2010-1-30 135664]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-3-31 253600]
S3 cpuz132;cpuz132;\??\d:\intern~1\temp\cpuz132\cpuz132_x32.sys --> d:\intern~1\temp\cpuz132\cpuz132_x32.sys [?]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\drivers\DslTestSp5.sys [2009-10-29 26816]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2010-1-30 135664]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2010-4-15 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2010-4-15 8320]
S3 TDslMgrService;DSL-Manager;d:\programme\dsl-manager\DslMgrSvc.exe [2009-10-29 307200]
S3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\drivers\ulisa.sys --> c:\windows\system32\drivers\ulisa.sys [?]
S3 W8100XP;Marvell Libertas 802.11b/g SoftAP Driver for Windows XP ;c:\windows\system32\drivers\mrv8ka51.sys [2005-7-20 258560]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [2004-8-4 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-03-31 17:18:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-03-31 17:03:53 0 ----a-w- c:\windows\system32\REN1F.tmp
2012-03-31 17:03:53 0 ----a-w- c:\windows\system32\REN1E.tmp
2012-03-31 17:03:53 0 ----a-w- c:\windows\system32\REN1D.tmp
2012-03-31 16:47:53 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-31 16:47:53 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-03-29 21:16:13 -------- d-----w- c:\dokumente und einstellungen\dirk\lokale einstellungen\anwendungsdaten\NPE
2012-03-24 16:17:06 388216 ----a-w- c:\windows\system32\drivers\nis\1306020.00a\symtdi.sys
2012-03-24 16:17:06 345208 ----a-w- c:\windows\system32\drivers\nis\1306020.00a\symtdiv.sys
2012-03-24 16:17:05 905336 ----a-w- c:\windows\system32\drivers\nis\1306020.00a\symefa.sys
2012-03-24 16:17:05 574584 ----a-w- c:\windows\system32\drivers\nis\1306020.00a\srtsp.sys
2012-03-24 16:17:05 340088 ----a-r- c:\windows\system32\drivers\nis\1306020.00a\symds.sys
2012-03-24 16:17:05 32888 ----a-w- c:\windows\system32\drivers\nis\1306020.00a\srtspx.sys
2012-03-24 16:17:05 318584 ----a-w- c:\windows\system32\drivers\nis\1306020.00a\symnets.sys
2012-03-24 16:17:05 149624 ----a-w- c:\windows\system32\drivers\nis\1306020.00a\ironx86.sys
2012-03-24 16:17:05 132744 ----a-w- c:\windows\system32\drivers\nis\1306020.00a\ccsetx86.sys
2012-03-24 16:16:53 4782 ----a-w- c:\windows\system32\drivers\nis\1306020.00a\symvtcer.dat
2012-03-24 16:16:53 -------- d-----w- c:\windows\system32\drivers\nis\1306020.00A
2012-03-07 22:21:47 60872 ----a-w- c:\windows\system32\S32EVNT1.DLL
2012-03-07 22:21:47 141944 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2012-03-07 22:21:47 -------- d-----w- c:\programme\Symantec
2012-03-07 22:20:39 -------- d-----w- c:\windows\system32\drivers\NIS
.
==================== Find3M ====================
.
2012-03-31 17:18:28 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-03 09:57:08 1860224 ----a-w- c:\windows\system32\win32k.sys
2012-01-25 10:23:10 299424 ----a-w- c:\windows\system32\drivers\yk51x86.sys
2012-01-11 19:06:33 3072 ------w- c:\windows\system32\iacenc.dll
2012-01-09 16:20:20 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
.
============= FINISH: 11:18:54,87 ===============
|
| Themen zu 50€-Trojaner "Suspicious.Cloud.7.EP" |
| adobe, aufrufe, browser, desktop, einstellungen, eraser, excel, explorer, flash player, generic, google, helper, hook, internet, neustart, norton power eraser, plug-in, rundll, scan, security, seiten, software, svchost, symantec, system, temp, trojaner/virus, usb, windows, windows xp |
Baum-Darstellung