Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware

Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware


Log-Analyse und Auswertung: Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 30.04.2012, 11:17   #1
Drangi
 
Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware - Standard

Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware


Hallo.

Ich habe am 24.04. zwei Buchungsbestätigungen mit Anhang als eMails von booking.com erhalten.

Leider habe ich dieses eine mal nicht nachgedacht (ich überlege schon die Geißelungsart), habe den .zip Anhang einer eMail geöffnet und die Datei ausgeführt. Auf dem Desktop erschien dann ein Icon auf das ich draufklickte. Das Icon verschwand danach sofort und war nicht mehr zu sehen.

Erste Schritte bei der Problembehandlung habe ich schon unternommen.

Leider bin ich absolut unerfahren in diesen Angelegenheiten und alleine nicht fähig mein Problem zu bearbeiten. Habe vor langer Zeit schon mal eine Anfrage gestellt wegen anderen Dingen, aber leider keine Antwort erhalten.
Daher habe ich mir diesmal hoffentlich alles gut durchgelesen und schreibe den Thread wie von Euch gefordert, bitte aber um Nachsicht, wenn trotzdem was falsch sein sollte. Mein Kopf qualmt und ich fühle mich absolut überfordert. Wenn sich jemand meiner annehmen würde wäre ich sehr dankbar!


Problembehandlung (eMail und reale Namen wurden in den Logs nicht gefunden oder unkenntlich gemacht (xxx), leider weis ich nicht wie man Spoiler hier einfügt):

1.)
Erster Scan mit Avira Free, Trojaner und Viren bzw. unerwünschte Programme werden gefunden und in Quarantäne verschoben. Namentlich erwähnt wird der Trojaner TR/Injector.qmu. Da der Scan sehr umfangreich war, passt leider nicht mal die 7 Zip Datei hierher (10,5 Mb). Wenn gewünscht, kann ich den Log aber per eMail oder sonstwie schicken. Hier erstmal das was mir selber aufgefallen ist:

Zitat:
Beginne mit der Desinfektion:
C:\Users\xxx\Desktop\
Details-From-Booking-Com_Reservation-04241284131.zip
[FUND] Ist das Trojanische Pferd TR/Injector.qmu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '565afb7c.qua' verschoben!
C:\Users\xxx\AppData\Roaming\Thunderbird\Profiles\pq32dvuu.default\ImapMail\mx.xxx.de\
INBOX
[FUND] Ist das Trojanische Pferd TR/Injector.qmu
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Sonntag, 29. April 2012 16:58
Benötigte Zeit: 2:46:16 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

44550 Verzeichnisse wurden überprüft
1627564 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
81 Dateien konnten nicht durchsucht werden
1627477 Dateien ohne Befall
38590 Archive wurden durchsucht
301 Warnungen
413 Hinweise
606134 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

2.)
Malewarebytes installiert, 14 Tage Testversion Pro, vollständige Systemprüfung, mehrere infizierte Dateien gefunden und bereinigt, Pc-Neustart:

Anhang: mbam-log-2012-04-29 (17-23-27)

3.)
defogger runtergeladen und ausgeführt. Bisher nicht auf Re-enabled geklickt, aber letzter Schritt wurde nicht mehr ausgeführt und Fenster ging auch nicht zu.

  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK. (ausgeführt)
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:50 on 29/04/2012 (xxx)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-


4.)
DDS runtergeladen und ausgeführt:

DDS.txt (soll ja direkt in den Thread)
Zitat:
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_29
Run by xxx at 19:05:04 on 2012-04-29
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3582.2105 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe -k netsvcs
c:\Program Files\Ocster Backup\bin\backupService-ox.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Program Files\Secunia\PSI\PSIA.exe
c:\Program Files\Ocster Backup\bin\oxHelper.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Browny02\Brother\BrStMonW.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\Browny02\BrYNSvc.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Secunia\PSI\psi_tray.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Secunia\PSI\sua.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe -k swprv
C:\Windows\system32\conime.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uURLSearchHooks: H - No File
mURLSearchHooks: H - No File
mURLSearchHooks: H - No File
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\program files\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Windows Live Messenger Companion Helper: {9fdde16b-836f-4806-ab1f-1455cbeff289} - c:\program files\windows live\companion\companioncore.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe
uRun: [ccleaner] "c:\program files\ccleaner\CCleaner.exe" /AUTO
uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe
uRun: [Google Update] "c:\users\xxx\appdata\local\google\update\GoogleUpdate.exe" /c
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [ControlCenter3] c:\program files\brother\controlcenter3\brctrcen.exe /autorun
mRun: [BrStsMon00] c:\program files\browny02\brother\BrStMonW.exe /AUTORUN
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [DivXUpdate] "c:\program files\divx\divx update\DivXUpdate.exe" /CHECKNOW
mRun: [Ocster Backup] "c:\program files\ocster backup\bin\backupClient-ox.exe" --hidden
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\secunia psi tray.lnk - c:\program files\secunia\psi\psi_tray.exe
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-explorer: NoResolveTrack = 1 (0x1)
mPolicies-explorer: NoFileAssociate = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: NoDispSettingsPage = 0 (0x0)
mPolicies-system: EnableLUA = 0 (0x0)
IE: {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - c:\programs\partygaming\partygammon\RunBackGammon.exe
IE: {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\icq7.5\ICQ.exe
IE: {0000036B-C524-4050-81A0-243669A86B9F} - {B63DBA5F-523F-4B9C-A43D-65DF1977EAD3} - c:\program files\windows live\companion\companioncore.dll
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll
Trusted Zone: (xxx).com\www (habe den Link ebenfalls unkenntlich gemacht)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} - hxxps://img.ui-portal.de/webde/smartdrive/activex/gmxnet_osupload_2002.cab
TCP: Interfaces\{DA8E1A3D-8959-4C24-9B3F-BF4325FB7ABF} : NameServer = 62.220.18.8 89.246.64.8
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - c:\program files\windows live\photo gallery\AlbumDownloadProtocolHandler.dll
Hosts: 127.0.0.1 www.spywareinfo.com
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\bvbi9bhb.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&q=
FF - component: c:\program files\checkpoint\zaforcefield\trustchecker\components\TrustCheckerMozillaPlugin.dll
FF - component: c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\bvbi9bhb.default\extensions\{91da5e8a-3318-4f8c-b67e-5964de3ab546}\components\FFExternalAlert.dll
FF - component: c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\bvbi9bhb.default\extensions\{91da5e8a-3318-4f8c-b67e-5964de3ab546}\components\RadioWMPCore.dll
FF - component: c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\bvbi9bhb.default\extensions\engine@conduit.com\components\RadioWMPCoreGecko19.dll
FF - plugin: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\divx\divx ovs helper\npovshelper.dll
FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll
FF - plugin: c:\program files\gamespy\comrade\npcomrade.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.53\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.57\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.65\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.69\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.79\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dv.dll
FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dvstreaming.dll
FF - plugin: c:\program files\pando networks\media booster\npPandoWebPlugin.dll
FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll
FF - plugin: c:\programdata\id software\quakelive\npquakezero.dll
FF - plugin: c:\users\xxx\appdata\local\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_233.dll
.
---- FIREFOX POLICIES ----
FF - user.js: browser.blink_allowed - true
FF - user.js: network.prefetch-next - true
FF - user.js: nglayout.initialpaint.delay - 50
FF - user.js: layout.spellcheckDefault - 1
FF - user.js: browser.urlbar.autoFill - false
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.tabs.opentabfor.middleclick - true
FF - user.js: browser.tabs.tabMinWidth - 100
FF - user.js: browser.urlbar.hideGoButton - true
.
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-23 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-10-23 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-10-23 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-23 74640]
R2 ezGOSvc;Easybits GO Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [2008-1-21 21504]
R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-4-29 654408]
R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2009-10-20 50704]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\nvidia corporation\nvidia updatus\daemonu.exe [2011-8-2 2255464]
R2 ocster_backup;Ocster Backup;c:\program files\ocster backup\bin\backupService-ox.exe [2012-3-22 18888]
R2 Secunia PSI Agent;Secunia PSI Agent;c:\program files\secunia\psi\psia.exe [2011-4-19 993848]
R2 Secunia Update Agent;Secunia Update Agent;c:\program files\secunia\psi\sua.exe [2011-4-19 399416]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\nvidia corporation\3d vision\nvSCPAPISvr.exe [2011-8-3 379496]
R3 BrYNSvc;BrYNSvc;c:\program files\browny02\BrYNSvc.exe [2011-10-27 245760]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-4-29 22344]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2010-9-1 15544]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-7-17 136176]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-4-4 253088]
S3 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr.sys [2011-11-11 39272]
S3 fsssvc;Windows Live Family Safety Service;c:\program files\windows live\family safety\fsssvc.exe [2011-5-13 1492840]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2010-7-17 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\mozilla maintenance service\maintenanceservice.exe [2012-4-26 129976]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
S4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\windows live\mesh\wlcrasvc.exe [2010-9-22 51040]
.
=============== Created Last 30 ================
.
2012-04-29 15:09:04 -------- d-----w- c:\users\xxx\appdata\roaming\Malwarebytes
2012-04-29 15:08:55 -------- d-----w- c:\programdata\Malwarebytes
2012-04-29 15:08:53 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-04-29 15:08:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-04-28 23:45:30 56200 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{db625cc8-029c-476b-8b61-4af390c497bf}\offreg.dll
2012-04-27 13:48:38 6734704 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{db625cc8-029c-476b-8b61-4af390c497bf}\mpengine.dll
2012-04-26 01:03:38 -------- d-----w- c:\program files\Mozilla Maintenance Service
2012-04-26 01:03:36 157352 ----a-w- c:\program files\mozilla firefox\maintenanceservice_installer.exe
2012-04-26 01:03:36 129976 ----a-w- c:\program files\mozilla firefox\maintenanceservice.exe
2012-04-16 01:00:49 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2012-04-16 01:00:27 -------- d-----w- c:\program files\MSXML 4.0
2012-04-15 10:36:43 -------- d-----w- c:\users\xxx\appdata\roaming\Zeon
2012-04-15 10:29:45 -------- d-----w- c:\program files\ScanSoft
2012-04-15 09:56:55 -------- d-----w- c:\windows\tessdata
2012-04-12 12:32:56 5120 ----a-w- c:\windows\system32\wmi.dll
2012-04-12 12:32:56 172032 ----a-w- c:\windows\system32\wintrust.dll
2012-04-12 12:32:56 157696 ----a-w- c:\windows\system32\imagehlp.dll
2012-04-12 12:32:56 12800 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-04-12 12:32:20 3602816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-12 12:32:20 3550080 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-12 06:00:05 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat
2012-04-11 09:53:06 -------- d-----w- c:\users\xxx\appdata\local\PDF24
2012-04-06 10:51:24 -------- d-----w- C:\Casino
2012-04-04 09:22:36 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
.
==================== Find3M ====================
.
2012-04-13 20:25:07 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-28 01:18:55 1799168 ----a-w- c:\windows\system32\jscript9.dll
2012-02-28 01:11:21 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2012-02-28 01:11:07 1127424 ----a-w- c:\windows\system32\wininet.dll
2012-02-28 01:03:16 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-14 15:45:30 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-02-14 15:45:30 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-02-13 14:12:08 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-02-13 13:47:57 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-02-13 13:44:40 1068544 ----a-w- c:\windows\system32\DWrite.dll
2012-02-02 15:16:25 2044416 ----a-w- c:\windows\system32\win32k.sys

FINISH: 19:05:29,71


5.)
Alle laufenden Programme und Scanner geschlossen. Da in Schritt 3 defogger-Fenster nicht zu ging, auch dieses Fenster mit Klick aufs rote Kreuz geschlossen.

Gmer ausgeführt, allerdings vergessen Häkchen bei IAT/EAT zu entfernen. Das Logfile ist als Anhang hier dabei.
PC neu gestartet und GMER erneut mit richtigen Häkchen ausgeführt. Diesmal aber während des Scans abgestürzt mit Bluescreen. Pc hat selbständig neu gebootet. Habe Windows normal starten lassen, nicht abgesichert. Danach erschien folgende Windowsmeldung:

Zitat:
Problemsignatur:
Problemereignisname: BlueScreen
Betriebsystemversion: 6.0.6002.2.2.0.768.3
Gebietsschema-ID: 1031

Zusatzinformationen zum Problem:
BCCode: a
BCP1: 0058182E
BCP2: 00000002
BCP3: 00000001
BCP4: 8269FC88
OS Version: 6_0_6002
Service Pack: 2_0
Product: 768_1

Dateien, die bei der Beschreibung des Problems hilfreich sind:
C:\Windows\Minidump\Mini042912-01.dmp
C:\Users\xxx\AppData\Local\Temp\WER-38313-0.sysdata.xml
C:\Users\xxx\AppData\Local\Temp\WERB74.tmp.version.txt

Lesen Sie unsere Datenschutzrichtlinie:
hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407


6.)
PC neugestartet und nochmal Avira ausgeführt, weil erster Bericht hier nicht herpasst. Also alle Einstellungen auf "Standart" gestellt. Gefunden wurde so aber nichts. Auch das Log befindet sich im Anhang.

Anhang: AVSCAN-20120429-205058-A87C9020 neuer


--------


Übrigens befinden sich die ursprünglichen eMails von booking.com noch immer in meinem eMailprogramm.

Geschafft, ich hoffe alles richtig gemacht zu haben und würde mich wirklich sehr freuen, wenn mir jemand hilft.
Geändert von Drangi (30.04.2012 um 11:34 Uhr) Grund: Thread verbessert

 

Themen zu Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware
adobe, antivir, avira, defender, desktop, einstellungen, email, explorer, firefox, flash player, fontcache, frage, google, google earth, hilfreich, home, infizierte, infizierte dateien, logfile, malware, minidump, mozilla, nvidia update, plug-in, problembehandlung, scan, secunia psi, software, starten, svchost.exe, tr/injector.qmu, trojaner, viren, warnung, windows, windowsmeldung


« Trojan.Matsnu.1 neue Version? | Verschlüsselungs-Trojaner OTL vor Malewarebytes »


Ähnliche Themen: Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware


  1. mehrere Kontakte bekommen eine Email "Hey! Important message", "js/js Mahtong"
    Log-Analyse und Auswertung - 20.02.2016 (51)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Vista: Trojaner "TR/injector.bsy.2", "TR/Trash.Gen" und weiteres unerwünschtes
    Plagegeister aller Art und deren Bekämpfung - 24.05.2014 (15)
  4. "Polizei" Trojaner und/oder wigon.ph trojan bzw. Injector.AZOJ trojan
    Plagegeister aller Art und deren Bekämpfung - 23.04.2014 (12)
  5. SPAM-Vorwurf durch Internet-Anbieter / "Malwarebytes Anti-Malware"-Abstürze / Nachfrage zu "Secunia PSI"
    Log-Analyse und Auswertung - 30.08.2013 (17)
  6. Dateien "verschwinden" nach Download vom PC-ist Trojan.dropper.win32.injector die Ursache?
    Log-Analyse und Auswertung - 10.06.2013 (16)
  7. Avira hat Trojaner "TR/Rogue.KD.853855.1" gefunden und in Quarantäne verschoben --> Sind weitere Schritte notwendig?
    Log-Analyse und Auswertung - 25.02.2013 (11)
  8. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  9. "TR/Drop.Injector.fkta" bei Windows Vista
    Log-Analyse und Auswertung - 11.09.2012 (13)
  10. "Stille" email an vorhandenes email-account senden um emails mitzulesen?
    Überwachung, Datenschutz und Spam - 29.08.2012 (2)
  11. Virus enthalten in emails von "booking.com"
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (1)
  12. Trojaner email- "Deine Datingwebseite-Vertragsrechnung NR: 437734395" mit Anhang "Abmelden.zip.
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (4)
  13. "Aus Sicherheitsgründen..."-Trojaner, nach erfolgreichem Virenscann weitere Gefährdung?
    Plagegeister aller Art und deren Bekämpfung - 25.02.2012 (3)
  14. "Trojan.Vundo-Variant/F" in Datei "C:\Windows\Syswow64\avsredirect.dll" + vorher weitere Schädlinge
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (15)
  15. ICQ-Account über Trojaner(?) "Fotoalbum.exe" gehackt- weitere Gefährdung meiner Daten?
    Log-Analyse und Auswertung - 18.11.2010 (1)
  16. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  17. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware - Hallo. Ich habe am 24.04. zwei Buchungsbestätigungen mit Anhang als eMails von booking.com erhalten. Leider habe ich dieses eine mal nicht nachgedacht (ich überlege schon die Geißelungsart), habe den .zip - Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware...
Archiv
Du betrachtest: Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19