| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Deutschlandflagge-Trojaner in ganz neuer FormWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.04.2012, 17:47
| #1 |
 |  Deutschlandflagge-Trojaner in ganz neuer Form Hallo Miteinander, Meine Frau hat den oben genannten Trojaner auch gekriegt, jedoch in einer anderen Form. Vor etwa 10 Tage hatte meiner Frau die schon berühmte Sicherheitsmeldung, umarmt mit der deutschen Flagge auf unseren Notebook gekriegt. Ich war auch zuhause und habe gleich mit dem Task Manager den Rechner neugestartet. Nachdem erfolgte bei jedem Neustart ein Fenster "Öffne mit..." für eine Datei genant genau so, wie auch unserer Notebook heißt. Beim Auswahl von Abbrechen, kommt den gleichen Fenster nochmal und wenn man wieder auf Abbrechen klickt verschwindet das Ganze und kommt während laufenden Betrieb nicht mehr. Erst beim nächsten Neustart wiederholt sich das Ganze. Soo, ich habe das Verhalten nicht als kritisch gedacht und habe es so gelassen. Erst gestern habe ich endlich nach diese Datei gesucht und habe sie unter "C:\Users\***" gefunden und natürlich auch im Papierkorb gelöscht. Seitdem ich das gemacht habe startete der Rechner nicht mehr, wenn auch Internetverbindung auch vorhanden war - gleich nach dem Start kommt diese Sicherheitswarnung mit der deutschen Flagge und die Aufforderung 50 Euro zu bezahlen. Deshalb habe ich den Rechner ohne Internetverbindung gestartet und die gelöschte Datei wiederhergestellt (in dieser Datei sind meine MAC Adressen gespeichert - LAN, WLAN Karte etc.). Seitdem kommt wieder am Anfang der bekannte Fenster "Öffne mit" für die gleiche Datei. Ich habe versucht der Trojaner zu entfernen (meiner Meinung nach erfolgreich aber bin nicht sicher). Jetzt kommt aber meine wichtigste Frage. In dieser Zeit, als der Rechner verseucht war, habe ich Online Banking benutzt, sowie ein Paar Kreditkartenbezahlungen ausgeführt. Kann es sein das der Virus meine Daten abgefangen hat? Was kann ich tun? Wie kann ich sicher werden, dass ich das Ding gelöscht habe? Ich danke an alle, die sich bemühen werden, mir zu helfen! Freundliche Grüße Jan |
|
02.04.2012, 16:03
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Deutschlandflagge-Trojaner in ganz neuer Form Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ |
|
03.04.2012, 11:44
| #3 |
| | Deutschlandflagge-Trojaner in ganz neuer Form Hallo Arne,
__________________Erstmal danke für die Hilfe. Mit Malwarebytes habe ich die letzten Tagen mehrmals gescant. Hier ist der erste log, nachdem ich OTL ausgeführt habe und auch das SkypePM.exe gefixt habe: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.03.31.13 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 *** :: ***-PC [Administrator] Schutz: Aktiviert 01.04.2012 08:33:56 mbam-log-2012-04-01 (08-33-56).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 461452 Laufzeit: 2 Stunde(n), 3 Minute(n), 37 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\_OTL\MovedFiles\03312012_234617\C_Users\Kitty i Jori\AppData\Local\Skype\SkypePM.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) In den nächsten Tagen habe ich wieder Malwarebytes ausgeführt. Das Ergebnis war immer: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.04.02.03 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 *** :: ***-PC [Administrator] Schutz: Aktiviert 02.04.2012 10:01:27 mbam-log-2012-04-02 (10-01-27).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 462144 Laufzeit: 2 Stunde(n), 4 Minute(n), 6 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Nach deiner Anweisung habe ich gestern Abend auch mit ESET einen Scan durchgeführt. Hier das Ergebnis: Code:
ATTFilter ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-02 06:45:05
# local_time=2012-04-02 08:45:05 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 29948 85021999 0 0
# compatibility_mode=8192 67108863 100 0 147 147 0 0
# compatibility_mode=8449 16775165 100 94 45178069 146658383 0 0
# scanned=388
# found=0
# cleaned=0
# scan_time=156
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-02 10:15:27
# local_time=2012-04-03 12:15:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 30169 85022220 0 0
# compatibility_mode=8192 67108863 100 0 368 368 0 0
# compatibility_mode=8449 16775165 100 94 45178290 146658604 0 0
# scanned=258737
# found=2
# cleaned=0
# scan_time=12557
C:\ProgramData\Win7codecs\{C01237D6-4A77-4A5C-AA25-A1226A998979}\Win7codecs.msi Win32/Packed.Autoit.E.Gen application (unable to clean) 00000000000000000000000000000000 I
C:\Users\All Users\Win7codecs\{C01237D6-4A77-4A5C-AA25-A1226A998979}\Win7codecs.msi Win32/Packed.Autoit.E.Gen application (unable to clean) 00000000000000000000000000000000 I
Die wichtigste für mich Frage aber bleibt: soll ich meine Konto- und Kreditdaten sperren? Freundliche Grüße, Jan Geändert von Mistfall (03.04.2012 um 11:47 Uhr) Grund: falschen log eingefügt für den zweiten Malwarebytes Scan |
|
03.04.2012, 16:08
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Deutschlandflagge-Trojaner in ganz neuer FormZitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
03.04.2012, 19:14
| #5 | |
| | Deutschlandflagge-Trojaner in ganz neuer FormZitat:
Meinst du, dass das Ding noch auf den Rechner ist? Gruß, Jan |
|
03.04.2012, 19:39
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Deutschlandflagge-Trojaner in ganz neuer Form Das hab ich nicht gesagt. Nur wenn du jedes Risiko ausschließen willst weil du so wichtige Sachen machst, dann führt an der Neuinstallation nichts vorbei
__________________ --> Deutschlandflagge-Trojaner in ganz neuer Form |
|
03.04.2012, 20:16
| #7 | |
| | Deutschlandflagge-Trojaner in ganz neuer FormZitat:
Tja jedes Risiko kann man sowieso nicht ausschließen. Die Frage ist aber, das Risiko in bestimmten akzeptablen Grenzen zu halten. Meinst du, wenn ich mein Rechner weiter für Online-Banking benutzen will, dass ich das System neu installieren soll? Findest du, dass mein System noch infiziert ist? Freundliche Grüße, Jan |
|
03.04.2012, 20:42
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Deutschlandflagge-Trojaner in ganz neuer Form Dazu müsste man noch genauer analysieren bevor ich hier eine Aussage mache. Ich hab vorher nur eingelenkt weil du wohl doch erhebliche Zweifel bzw. doch etwas beängstigst warst wegen deiner Bankkonten. Wenn ich sowas lese, dann frag ich erst Recht zuerst danach ob du nicht lieber neu aufsetzen willst Du musst doch halt entscheiden: Garantiert jeder Schädling weg => neuinstallation mit sehr hoher Wahrscheinlichkeit alle Schädlinge weg => Bereinigung Beide Wege sind unangenehm, such dir den am wenigsten unangehmen aus 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.04.2012, 20:52
| #9 |
| | Deutschlandflagge-Trojaner in ganz neuer Form Hallo Arne, Also Neuinstallation klingt für mich zu aufwendig. Was meinst du unter Bereinigung. Ich habe nämlich das System mit so vielen Virenscanner überprüft, mit OTL und Combofix auch. Was soll ich noch tun? Und meinst du, dass der Trojaner überhaupt meine Daten gesnifft hat? Wie gesagt, da kam immer 2-mal ein Fenster "Öffnen mit" bei jedem Neustart. War das Ding überhaupt in dieser Zeit aktiv? Grüße, Jan |
|
04.04.2012, 10:20
| #10 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Deutschlandflagge-Trojaner in ganz neuer FormZitat:
 Wieso erwähnst du das jetzt erst und warum hast du nicht gleich alle Logs gepostet Warum willst du hier Hilfe wenn du hier so intransparent handelst und man sowas wie das mit CF nebenbei erst zufällig nebenbei erfährt?  Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.04.2012, 15:28
| #11 |
| | Deutschlandflagge-Trojaner in ganz neuer Form Hallo Arne, Die Benutzung von Combofix habe ich auf eigene Gefahr übernommen, tut mir leid. Zu den logs: 1. OTL habe ich mit folgenden Script ausgeführt: Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
Code:
ATTFilter :OTL
O4 - HKCU..\Run: [SkypePM] C:\Users\***\AppData\Local\Skype\SkypePM.exe ()
:Files
C:\Users\***\AppData\Local\Skype
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM deleted successfully.
C:\Users\***\AppData\Local\Skype\SkypePM.exe moved successfully.
========== COMMANDS ==========
[EMPTYFLASH]
User: Administrator
User: All Users
User: Default
User: Default User
User: ***
->Flash cache emptied: 46086 bytes
User: Public
Total Flash Files Cleaned = 0,00 mb
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 55399 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 12118713 bytes
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: ***
->Temp folder emptied: 2016 bytes
->Temporary Internet Files folder emptied: 155801206 bytes
->Java cache emptied: 3370199 bytes
->FireFox cache emptied: 1052707245 bytes
->Google Chrome cache emptied: 410112761 bytes
->Flash cache emptied: 0 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 104605910 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67563 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 1.658,00 mb
OTL by OldTimer - Version 3.2.39.2 log created on 03312012_234617
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
Code:
ATTFilter 2012-03-31 22:31:29 . 2012-03-31 22:31:29 3,904 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-{08DB3902-2CE0-474D-BCE3-0177766CE9F1}.reg.dat
2012-03-31 22:31:18 . 2012-03-31 22:31:18 80 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-SynTPEnh.reg.dat
2012-03-31 22:31:18 . 2012-03-31 22:31:18 171 ----a-w- C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat
2012-03-31 22:31:17 . 2012-03-31 22:31:17 78 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Toolbar-10.reg.dat
2012-03-31 22:30:56 . 2012-03-31 22:30:56 90 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-Toolbar-10.reg.dat
2012-03-31 22:22:26 . 2009-07-14 01:39:54 83,456 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\winver.exe.vir
2012-03-31 22:20:06 . 2012-03-31 22:20:06 21,439 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2012-03-31 22:13:50 . 2012-03-31 22:22:27 170 ----a-w- C:\Qoobox\Quarantine\catchme.log
2011-03-12 20:50:28 . 2010-11-20 12:18:02 197,632 ----a-w- C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\42CC28.exe.vir
2011-01-24 16:33:51 . 2011-01-24 22:34:19 127 ----a-w- C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi.vir
2011-01-24 16:33:51 . 2011-01-24 22:34:19 1,488 ----a-w- C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi.vir
2011-01-24 16:33:34 . 2011-01-24 22:34:29 106 ----a-w- C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\.ddr.vir
2011-01-24 16:33:34 . 2011-01-24 22:34:29 1,507,328 ----a-w- C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp.vir
2011-01-12 21:42:01 . 2011-01-17 23:02:26 33 ----a-w- C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr.vir
2011-01-12 21:42:01 . 2011-01-12 21:42:03 4,310,930 ----a-w- C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx.vir
Code:
ATTFilter 4500_G510af_Help
4500G510af
4500G510af_Software_Min
ActiveCheck component for HP Active Support Library
Adobe Flash Player 10 ActiveX
Adobe Reader 9.5.0 - Deutsch
AMD USB Filter Driver
ArcSoft Print Creations
ArcSoft Print Creations - Album Page
ArcSoft Print Creations - Funhouse
ArcSoft Print Creations - Greeting Card
ArcSoft Print Creations - Photo Book
ArcSoft Print Creations - Photo Calendar
ArcSoft Print Creations - Scrapbook
ArcSoft Print Creations - Slimline Card
µTorrent
BufferChm
Catalyst Control Center - Branding
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
Catalyst Control Center Graphics Previews Vista
Catalyst Control Center InstallProxy
Catalyst Control Center Localization All
ccc-core-static
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
CCScore
CDex - Open Source Digital Audio CD Extractor
DAEMON Tools Lite
Destinations
DeviceDiscovery
Directory Compare
DivX-Setup
DivX Plus DirectShow Filters
DocMgr
DocProc
ESSBrwr
ESSCDBK
ESScore
ESSgui
ESSini
ESSPCD
ESSPDock
ESSTOOLS
essvatgt
FastStone Image Viewer 4.2
Fax
FlashGet 1.9.6.1073
FreePDF (Remove only)
Google Chrome
Google Earth Plug-in
Google Update Helper
GPBaseService2
GPL Ghostscript 8.71
HP Customer Experience Enhancements
HP MediaSmart DVD
HP MediaSmart Webcam
HP Quick Launch Buttons
HP Support Assistant
HP Update
HPAsset component for HP Active Support Library
HPProductAssistant
IDT Audio
IrfanView (remove only)
Java Auto Updater
Java(TM) 6 Update 26
JMicron JMB38X Flash Media Controller Driver
Juniper Networks Host Checker
Juniper Networks Network Connect 6.3.0
Juniper Networks Setup Client
Juniper Networks Setup Client Activex Control
K-Lite Mega Codec Pack 5.4.4
Kodak EasyShare Software
LightScribe System Software
LightScribe Template Labeler
Microsoft Silverlight
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Mozilla Firefox 11.0 (x86 de)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
netbrdg
Notepad++
OfotoXMI
pdfsam
QLBCASL
Realtek 8136 8168 8169 Ethernet Driver
Scan
Security Update for Microsoft .NET Framework 4 Client Profile (KB2160841)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
SFR
SHASTA
skin0001
SKINXSDK
Skype™ 5.8
SmartTools Office DDE-Fix
SmartWebPrinting
SolutionCenter
Sophos Anti-Virus
Sophos AutoUpdate
SpeedFan (remove only)
staticcr
Status
The KMPlayer (remove only)
Toolbox
tooltips
TrayApp
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
VC80CRTRedist - 8.0.50727.6195
VLC media player 1.0.3
VoipCheapCom
VoipRaider
VPRINTOL
WebReg
Windows Media Player Firefox Plugin
WIRELESS
Habe ich ein Mist gebaut? Besten Dank für die Unterstützung! Freundliche Grüße, Jan |
|
04.04.2012, 20:54
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Deutschlandflagge-Trojaner in ganz neuer Form Was ist sehen wollte ist das richtige Combofix-Log => C:\combofix.txt! Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.04.2012, 21:21
| #13 |
| | Deutschlandflagge-Trojaner in ganz neuer Form Hallo Arne, Anbei der Combofix Log: Combofix Logfile: Code:
ATTFilter ComboFix 12-03-31.03 - *** 01.04.2012 0:15.1.2 - x64
Microsoft Windows 7 Ultimate 6.1.7601.1.1252.49.1033.18.4094.2765 [GMT 2:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\JMHL Loader
c:\users\***\AppData\Roaming\42CC28.exe
c:\users\***\AppData\Roaming\Local
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\.ddr
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-02-28 bis 2012-03-31 ))))))))))))))))))))))))))))))
.
.
2012-03-31 22:22 . 2012-03-31 22:22 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-31 22:22 . 2012-03-31 22:22 -------- d-----w- c:\users\Administrator\AppData\Local\temp
2012-03-31 21:46 . 2012-03-31 21:46 -------- d-----w- C:\_OTL
2012-03-30 06:43 . 2012-03-14 03:27 8669240 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{6ACC1D5D-A2E1-4358-873E-EB510D6DB756}\mpengine.dll
2012-03-18 08:27 . 2012-03-18 08:27 592824 ----a-w- c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-03-18 08:27 . 2012-03-18 08:27 44472 ----a-w- c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-03-16 14:24 . 2012-03-16 14:24 -------- d-----w- c:\program files (x86)\Common Files\Skype
2012-03-14 23:09 . 2011-11-19 15:20 5559152 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-14 23:09 . 2011-11-19 14:50 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
2012-03-14 23:09 . 2011-11-19 14:50 3913584 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
2012-03-14 17:16 . 2012-02-03 04:34 3145728 ----a-w- c:\windows\system32\win32k.sys
2012-03-14 17:16 . 2012-02-10 06:36 1544192 ----a-w- c:\windows\system32\DWrite.dll
2012-03-14 17:16 . 2012-02-10 05:38 1077248 ----a-w- c:\windows\SysWow64\DWrite.dll
2012-03-14 08:08 . 2012-01-25 06:38 77312 ----a-w- c:\windows\system32\rdpwsx.dll
2012-03-14 08:08 . 2012-01-25 06:38 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-03-14 08:08 . 2012-01-25 06:33 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-03-14 08:08 . 2012-02-17 06:38 1112064 ----a-w- c:\windows\system32\rdpcorets.dll
2012-03-14 08:08 . 2012-02-17 06:38 1031680 ----a-w- c:\windows\system32\rdpcore.dll
2012-03-14 08:08 . 2012-02-17 05:34 826880 ----a-w- c:\windows\SysWow64\rdpcore.dll
2012-03-14 08:08 . 2012-02-17 04:58 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-14 08:08 . 2012-02-17 04:57 23552 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-03-12 09:35 . 2012-03-12 10:45 -------- d-----w- c:\users\***\AppData\Roaming\Juan M. Aguirregabiria
2012-03-12 09:35 . 2012-03-12 09:35 -------- d-----w- c:\program files (x86)\Juan M. Aguirregabiria
2012-03-12 07:54 . 2012-03-12 07:54 -------- d-----w- c:\windows\system32\Macromed
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-12 07:54 . 2011-06-08 05:59 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2009-10-14 12:52 279656 ------w- c:\windows\system32\MpSigStub.exe
2012-01-04 10:44 . 2012-02-15 07:52 509952 ----a-w- c:\windows\system32\ntshrui.dll
2012-01-04 08:58 . 2012-02-15 07:52 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2011-04-30 . 2C353B6CE0C8D03225CAA2AF33B68D79 . 1008640 . . [6.1.7601.17514] .. c:\windows\system32\user32.dll
.
[-] 2011-04-30 . 861C4346F9281DC0380DE72C8D55D6BE . 833024 . . [6.1.7601.17514] .. c:\windows\SysWOW64\user32.dll
[7] 2010-11-20 . 5E0DB2D8B2750543CD2EBB9EA8E6CDD3 . 833024 . . [6.1.7601.17514] .. c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll
[7] 2009-07-14 . E8B0FFC209E504CB7E79FC24E6C085F0 . 833024 . . [6.1.7600.16385] .. c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_3382083abb6e47d4\user32.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PeerBlock"="c:\program files\PeerBlock\peerblock.exe" [2010-11-06 2646128]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
AutoUpdate Monitor.lnk - c:\program files (x86)\Sophos_FW\AutoUpdate\ALMon.exe [2010-10-27 245760]
Sophos AutoUpdate Monitor.lnk - c:\program files (x86)\Sophos_FW\AutoUpdate\ALMon.exe [2010-10-27 245760]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
.
R1 ntiomin;ntiomin; [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 136176]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-02-29 158856]
R3 ALSysIO;ALSysIO;c:\users\KITTYI~1\AppData\Local\Temp\ALSysIO64.sys [x]
R3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys [x]
R3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 136176]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [x]
R3 jrdusbser;Mobile Connector Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\jrdusbser.sys [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [x]
R3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [x]
R3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub; [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 SAVOnAccess;SAVOnAccess;c:\windows\system32\DRIVERS\savonaccess.sys [x]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\AESTSr64.exe [2009-03-02 89600]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2010-10-14 92216]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [x]
S2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\program files (x86)\Sophos_FW\Sophos Anti-Virus\SAVAdminService.exe [2010-10-27 69632]
S2 SAVService;Sophos Anti-Virus;c:\program files (x86)\Sophos_FW\Sophos Anti-Virus\SavService.exe [2010-10-27 98304]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - PBFILTER
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2010-01-22 10:06 451872 ----a-w- c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 11:55]
.
2012-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 11:55]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2009-07-21 610872]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-23 487424]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 660360]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://search.imesh.com
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: &Alles mit FlashGet laden - c:\progra~2\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\progra~2\FlashGet\jc_link.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 195.234.128.7 195.234.128.16 85.233.58.60
DPF: {DB7ACFA2-9634-4C98-BC9D-FB9416153022} - hxxp://g80fw.dyndns.org:2015/nvEPLMedia.cab
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\nlipcmtr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17708
FF - prefs.js: browser.search.selectedEngine - Search Results
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=1083&systemid=1&sr=0&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-10 - (no file)
Toolbar-10 - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
AddRemove-{08DB3902-2CE0-474D-BCE3-0177766CE9F1} - c:\program files (x86)\InstallShield Installation Information\{08DB3902-2CE0-474D-BCE3-0177766CE9F1}\setup.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Windows CE Services]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files (x86)\Juniper Networks\Common Files\dsNcService.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Sophos_FW\AutoUpdate\ALsvc.exe
c:\program files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-01 00:32:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-03-31 22:32
.
Vor Suchlauf: 13 Verzeichnis(se), 109.589.585.920 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 109.423.591.424 Bytes frei
.
- - End Of File - - 769E084043696F60AE79053AE394596D
Also bis jetzt habe ich gar nicht über leere Ordner geschaut. Jetzt habe ich gesucht - es gibt 2 solche leere Ordner: 1. Resco / Unterordner Defender (leer) 2. VCW VicMan's Photo Editor (leer) Ich habe nach der Combofix Ausführung mehrere unnötige Programme deinstalliert, kann es daran liegen? Aber eigentlich waren solche Programme nicht installiert,  Gruß, Jan |
|
04.04.2012, 23:01
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Deutschlandflagge-Trojaner in ganz neuer Form Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus wieder uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
05.04.2012, 07:20
| #15 | |||
| | Deutschlandflagge-Trojaner in ganz neuer Form Hallo Arne, Zitat:
Zitat:
Zitat:
1. "Resco" / Unterordner "Defender" (leer) 2. "VCW VicMan's Photo Editor" (leer) Ich bin mir aber gar nicht sicher, ob die Programme überhaupt auf dem Rechner installiert waren - der Rechner wird hauptsächlich von meiner Frau benutzt. Nach dem Combofix habe ich ein Paar unnötige Programme deinstalliert, solche Namen klingen mir aber gar nicht bekannt vor. Grüße, Jan |
|
| Themen zu Deutschlandflagge-Trojaner in ganz neuer Form |
| anfang, datei, entfernen, euro, gesucht, internetverbindung, karte, klick, kommt wieder, kreditkarte, lan, manager, neuer, neustart, nicht sicher, notebook, ohne internetverbindung, online, online banking, papierkorb, rechner, rechner verseucht, sicherheitsmeldung, sicherheitswarnung, task manager, trojaner, verbindung, verseucht, virus, wiederholt, wlan |
Linear-Darstellung
