| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bundespolizei/GVU Trojaner nach Besuch auf PornoseiteWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.06.2012, 14:55
| #1 | |
 |  Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Hallo liebes Trojaner-Board Team, ein Freund hat mich heute Morgen recht aufgelöst angerufen, dass er beim Surfen auf youporn eine Warnung angeklickt hätte und nun sein Bildschirm über die ganze Seite eine Warnung der GVU und eines Bundesamtes (aus Screenshots von anderen Betroffenen nehme ich an des BFI) mit einer Zahlungsaufforderung zeigen würde. Ich hab ihm dann erstmal gesagt, dass er nichts zahlen soll und mir den Rechner vorbei bringen. Ich habe das Wlan Modul deaktiviert und der Computer startet normal, ohne die "Bundespolizei" Warnung. Auf dem Computer ist Avira installiert, dass aber im Überwachungsmodus keine Viren meldet. Einen Scan habe ich nicht laufen lassen, um etwaige Logfiles nicht zu verfälschen. Wenn ich versuche den Taskmanager über strg+alt+entfernen zu öffnen schließt er sich sofort wieder. Entsprechend Eurer Bitte habe ich bisher nichts weiter unternommen und verfasse einen neuen Post. Die Logfiles sind im Anhang. vielen Dank schonmal für Eure Hilfe, Boby23 OTL Log: Zitat:
|
|
20.06.2012, 08:35
| #2 | |
| /// Malwareteam    | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten. Schritt 1: Software deinstallieren
Schritt 2: Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ |
|
20.06.2012, 10:47
| #3 |
| | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Hallo Marius,
__________________vielen Dank erstmal, dass Du Dich des Problems annimmst. Ich habe leider ein Problem damit Avira zu beenden. Wenn ich nur den "Echtzeitscanner" ausschalte sagt Combofix, dass Avira immer noch läuft. Ich habe versucht die Avira Dienste über die Computerverwaltung zu deaktivieren, dass lässt der Computer nicht zu weil ich Adminrechte bräuchte, obwohl ich ja als Administrator angemeldet bin. Ich habe auch versucht Avira zu deinstallieren. Das funktioniert auch nicht. Wenn ich über die "Programme Entfernen" Oberfläche Avira deinstallieren auswähle kommt noch die Abfrage, ob ich wirklich deinstallieren möchte, die ich bestätige und dann tut sich nichts mehr. Wenn ich versuche die Deinstallation nochmal zu starten (nach einigen Minuten Wartezeit) Kommt die Fehlermeldung, dass eine Instanz der Deinstallation bereits laufe. Ich habe auch versucht die Avira Prozesse im Autostart über msconfig auszuschalten. Da habe ich ebenfalls die Meldung bekommen, dass die Änderungen nicht übernommen werden können, da ich keine Administratorrechte habe. Gibt es noch eine weitere Möglichkeit? In den Taskmanager komme ich ja nach wie vor nicht. viele Grüße, Sebastian |
|
20.06.2012, 10:55
| #4 |
| /// Malwareteam | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Deaktiviere Avira, starte Combofix und ignoriere die Meldung! 
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
20.06.2012, 11:01
| #5 |
| | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Jetzt bin ich aufs nächste Problem gestoßen: auf dem Computer ist scheinbar keine Wiederherstellungskonsole installiert. Wenn ich den Computer allerdings eine Internetverbindung aufbauen lasse kommt ja der schicke Warnbildschirm. Kann ich die Wiederherstellungskonsole auch als Installer irgendwo runterladen und manuell installieren? Geändert von Boby23 (20.06.2012 um 11:02 Uhr) Grund: katastrophaler Satzbau! |
|
20.06.2012, 12:05
| #6 |
| /// Malwareteam | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Combofix: RC installieren Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12 Wähle den Download, der für dein Betriebssystem bestimmt ist: Hinweis: Für WinXP Sp3 wähle die Sp2 Version.  Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.  Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.
__________________ --> Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite |
|
20.06.2012, 12:47
| #7 |
| | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Hallo Marius, hier kommen die Ergebnisse von ComboFix: Code:
ATTFilter ComboFix 12-06-19.03 - XXX 20.06.2012 13:30:37.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1919.1257 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokume~1\RCKELE~1\LOKALE~1\Temp\wpbt0.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Temp\wpbt0.dll
c:\programme\Complitly
c:\programme\Complitly\chrome\ComplitlyChrome.crx
c:\programme\Complitly\FireFoxExtension.exe
c:\programme\Complitly\InstTracker.exe
c:\programme\Complitly\support@Complitly.com\chrome.manifest
c:\programme\Complitly\support@Complitly.com\chrome\content\appIcon.png
c:\programme\Complitly\support@Complitly.com\chrome\content\browserOverlay.xul
c:\programme\Complitly\support@Complitly.com\chrome\content\options.js
c:\programme\Complitly\support@Complitly.com\chrome\content\options.xul
c:\programme\Complitly\support@Complitly.com\chrome\content\utils.js
c:\programme\Complitly\support@Complitly.com\defaults\preferences\predictad.js
c:\programme\Complitly\support@Complitly.com\install.rdf
c:\programme\Complitly\unins000.dat
c:\programme\Complitly\unins000.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-05-20 bis 2012-06-20 ))))))))))))))))))))))))))))))
.
.
2012-06-19 08:15 . 2012-06-19 08:15 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2012-06-19 08:10 . 2012-06-19 08:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-06-07 05:53 . 2012-06-07 05:54 -------- d-----w- c:\programme\Dropbox
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:22 . 2006-02-28 12:00 604160 ----a-w- c:\windows\system32\crypt32.dll
2012-05-15 15:37 . 2006-02-28 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2006-02-28 12:00 1863296 ----a-w- c:\windows\system32\win32k.sys
2012-05-09 13:48 . 2012-05-09 13:48 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-09 13:48 . 2011-09-07 06:45 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-08 17:28 . 2012-01-26 19:57 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-05-08 17:28 . 2009-11-18 19:33 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-05-05 03:14 . 2006-02-28 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-04 00:50 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2008-05-02 16:06 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-04-23 14:40 . 2006-02-28 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2012-04-23 14:40 . 2006-02-28 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2012-04-23 14:40 . 2006-02-28 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2012-03-27 13:47 . 2012-03-27 13:47 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"MultiFrame"="c:\programme\ASUS\Asus MultiFrame\MultiFrame.exe" [2007-06-21 999792]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-06-20 451872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-07-03 7708672]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"ACU"="c:\programme\Atheros\ACU.exe" [2007-05-03 376921]
"ATKMEDIA"="c:\programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2007-07-19 49520]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2007-07-10 851968]
"PowerForPhone"="c:\program files\P4P\P4P.exe" [2007-07-19 778240]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2008-05-02 37232]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2008-05-02 33136]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"Symantec PIF AlertEng"="c:\programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"WAHRIG.digital Launcher"="c:\programme\Bertelsmann\WAHRIG.digital\wahrig.exe" [2007-03-09 983040]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\XXX\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
ctfmon.lnk - c:\windows\system32\rundll32.exe [2006-2-28 33792]
Dropbox.lnk - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2011-12-9 3512832]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2012-05-08 17:28 348624 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"=
"c:\\Programme\\HP\\Digital Imaging\\{9FEF1A18-8F26-4F49-A5A4-956C12210624}\\setup\\hpznui01.exe"=
"c:\\Dokumente und Einstellungen\\XXX\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [26.01.2012 21:57 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.01.2012 21:58 86224]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [05.05.2008 15:24 24576]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\drivers\StkCMini.sys [05.05.2008 15:24 1260672]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [28.10.2011 23:29 136176]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [09.05.2012 15:48 257696]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [28.10.2011 23:29 136176]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 10:47 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-09 13:48]
.
2012-06-20 c:\windows\Tasks\DMEPeriodicTask.job
- c:\programme\HP\Digital Imaging\bin\warrantyextension\HPPromo.exe [2009-06-16 06:17]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-10-28 21:29]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-10-28 21:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1060933
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\x5shmjnh.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-SynTPEnh - c:\programme\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-Freecorder FLV Service - c:\programme\Freecorder\FLVSrvc.exe
HKLM_ActiveSetup-ccc-core-static - msiexec
AddRemove-Freecorder5.1 - c:\programme\Freecorder\uninstall.exe
AddRemove-{4FFBB818-B13C-11E0-931D-B2664824019B}_is1 - c:\programme\Complitly\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-20 13:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2012-06-20 13:45:11
ComboFix-quarantined-files.txt 2012-06-20 11:45
.
Vor Suchlauf: 7 Verzeichnis(se), 57.510.088.704 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 60.119.912.448 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - D8D75F078D54F696924F3B643488F2ED
|
|
20.06.2012, 13:57
| #8 |
| /// Malwareteam | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Schritt 1: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter FILELOOK::
c:\windows\system32\corpol.dll
c:\windows\system32\ieencode.dll
c:\windows\system32\inetcpl.cpl
Wichtig:
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
20.06.2012, 14:21
| #9 |
| | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Hallo Marius, vielen Dank, dass Deine Antworten so flüssig kommen! Wirklich Toll euer Engagement hier! Hier kommt das nächste Log! Code:
ATTFilter ComboFix 12-06-19.03 - xxx 20.06.2012 15:08:33.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1919.1225 [GMT 2:00]
ausgeführt von:: G:\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-05-20 bis 2012-06-20 ))))))))))))))))))))))))))))))
.
.
2012-06-19 08:15 . 2012-06-19 08:15 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2012-06-19 08:10 . 2012-06-19 08:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-06-07 05:53 . 2012-06-07 05:54 -------- d-----w- c:\programme\Dropbox
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:22 . 2006-02-28 12:00 604160 ----a-w- c:\windows\system32\crypt32.dll
2012-05-15 15:37 . 2006-02-28 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2006-02-28 12:00 1863296 ----a-w- c:\windows\system32\win32k.sys
2012-05-09 13:48 . 2012-05-09 13:48 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-09 13:48 . 2011-09-07 06:45 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-08 17:28 . 2012-01-26 19:57 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-05-08 17:28 . 2009-11-18 19:33 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-05-05 03:14 . 2006-02-28 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-04 00:50 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2008-05-02 16:06 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-04-23 14:40 . 2006-02-28 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2012-04-23 14:40 . 2006-02-28 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2012-04-23 14:40 . 2006-02-28 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2012-03-27 13:47 . 2012-03-27 13:47 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
--- c:\windows\system32\corpol.dll ---
Company: Microsoft Corporation
File Description: Microsoft COM Runtime Execution Engine
File Version: 2007.0.0.17103 (vista_gdr.110816-1000)
Product Name: Windows® Internet Explorer
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: CORPOL.DLL
File size: 17408
Created time: 2006-02-28 12:00
Modified time: 2012-04-23 14:40
MD5: FA2BCAF679F44854D3324BD73C86E2F9
SHA1: A3C7874B7E29FC12E5CD88E3D6A2325ED83FADD1
.
.
--- c:\windows\system32\ieencode.dll ---
Company: Microsoft Corporation
File Description: Microsoft Character Encoder
File Version: 2017.0.0.17103 (vista_gdr.110816-1000)
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: IEENCODE.DLL
File size: 78336
Created time: 2006-02-28 12:00
Modified time: 2012-04-23 14:40
MD5: 45126E19057B7B95230A40554C7BBBE2
SHA1: 6867671ECA63BD9265DEB3B9C2ACBE94BEF41994
.
.
--- c:\windows\system32\inetcpl.cpl ---
Company: Microsoft Corporation
File Description: Internet Control Panel
File Version: 7.00.6000.17110 (vista_gdr.120419-1718)
Product Name: Windows® Internet Explorer
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: INETCPL.CPL
File size: 1830912
Created time: 2006-02-28 12:00
Modified time: 2012-04-23 14:40
MD5: C98001F39EA623C7F535B5AB5581819B
SHA1: C412D3449095888DD1D74DC1E0872DCFCF9FCB9A
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"MultiFrame"="c:\programme\ASUS\Asus MultiFrame\MultiFrame.exe" [2007-06-21 999792]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-06-20 451872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2007-07-03 7708672]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"ACU"="c:\programme\Atheros\ACU.exe" [2007-05-03 376921]
"ATKMEDIA"="c:\programme\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2007-07-19 49520]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2007-07-10 851968]
"PowerForPhone"="c:\program files\P4P\P4P.exe" [2007-07-19 778240]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2008-05-02 37232]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2008-05-02 33136]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"Symantec PIF AlertEng"="c:\programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"WAHRIG.digital Launcher"="c:\programme\Bertelsmann\WAHRIG.digital\wahrig.exe" [2007-03-09 983040]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-08 348624]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\xxx\Startmenü\Programme\Autostart\
CCC.lnk - c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]
ctfmon.lnk - c:\windows\system32\rundll32.exe [2006-2-28 33792]
Dropbox.lnk - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2011-12-9 3512832]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2012-05-08 17:28 348624 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\Lager\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"=
"c:\\Programme\\HP\\Digital Imaging\\{9FEF1A18-8F26-4F49-A5A4-956C12210624}\\setup\\hpznui01.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [26.01.2012 21:57 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.01.2012 21:58 86224]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [05.05.2008 15:24 24576]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\drivers\StkCMini.sys [05.05.2008 15:24 1260672]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [28.10.2011 23:29 136176]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [09.05.2012 15:48 257696]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [28.10.2011 23:29 136176]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 10:47 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-09 13:48]
.
2012-06-20 c:\windows\Tasks\DMEPeriodicTask.job
- c:\programme\HP\Digital Imaging\bin\warrantyextension\HPPromo.exe [2009-06-16 06:17]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-10-28 21:29]
.
2012-06-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-10-28 21:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT1060933
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\x5shmjnh.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: yahoo.homepage.dontask - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-20 15:14
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2060)
c:\programme\ASUS\Asus MultiFrame\HookTitle.dll
c:\programme\Hardcopy\HcDLL2_31_Win32.dll
c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-06-20 15:17:28
ComboFix-quarantined-files.txt 2012-06-20 13:17
ComboFix2.txt 2012-06-20 11:45
.
Vor Suchlauf: 9 Verzeichnis(se), 60.123.131.904 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 60.112.871.424 Bytes frei
.
- - End Of File - - CAC9CF3272894959C03B2347C3F013D4
|
|
20.06.2012, 14:26
| #10 |
| /// Malwareteam | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite adwcleaner Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
20.06.2012, 14:34
| #11 |
| | Bundespolizei/GVU Trojaner nach Besuch auf PornoseiteCode:
ATTFilter # AdwCleaner v1.609 - Logfile created 06/20/2012 at 15:34:02
# Updated 10/06/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : xxx - NOTEBOOK
# Running from : C:\Dokumente und Einstellungen\xxx\Desktop\adwcleaner.exe
# Option [Search]
***** [Services] *****
***** [Files / Folders] *****
Folder Found : C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Complitly
Folder Found : C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PriceGong
Folder Found : C:\Programme\AskTBar
Folder Found : C:\Programme\Conduit
***** [Registry] *****
[*] Key Found : HKLM\SOFTWARE\Classes\Toolbar.CT1060933
Key Found : HKCU\Software\Ask&Record
Key Found : HKCU\Software\Conduit
Key Found : HKCU\Software\ConduitSearchScopes
Key Found : HKCU\Software\Complitly
Key Found : HKCU\Software\AppDataLow\Software\Conduit
Key Found : HKLM\SOFTWARE\Conduit
Key Found : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\dlfienamagdnkekbbbocojppncdambda
***** [Registre - GUID] *****
Key Found : HKLM\SOFTWARE\Classes\AppID\{442F13BC-2031-42D5-9520-437F65271153}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Key Found : HKLM\SOFTWARE\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{01BCB858-2F62-4F06-A8F4-48F927C15333}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CB65201-89C4-402C-BA80-02D8C59F9B1D}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063DB1-4EC0-403E-8DD8-394C54984B2C}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE063DB9-4EC0-403E-8DD8-394C54984B2C}
***** [Internet Browsers] *****
-\\ Internet Explorer v7.0.5730.13
[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT1060933
*************************
AdwCleaner[R1].txt - [2692 octets] - [20/06/2012 15:34:02]
########## EOF - C:\AdwCleaner[R1].txt - [2820 octets] ##########
Geändert von Boby23 (20.06.2012 um 14:36 Uhr) Grund: Vergessen zu anonymisieren |
|
20.06.2012, 14:38
| #12 |
| /// Malwareteam | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite adwcleaner
Schritt 2: MBAM vollständig Downloade Dir bitte Malwarebytes
Schritt 3: ESET ESET Online Scanner
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
20.06.2012, 14:44
| #13 |
| | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Kurze Nachfrage zur Malwarebytes Aktuallisierung: ich hab ja immer noch keine Internetverbindung auf dem infizierten System. Kann ich eine aktuelle Definitionsdatei direkt von Malwarebytes runterladen oder ist das nicht aktuell genug im vorliegenden Fall? Geändert von Boby23 (20.06.2012 um 14:50 Uhr) |
|
20.06.2012, 15:15
| #14 |
| /// Malwareteam | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite Kommt der Warnbildschirm des trojaners etwa noch immer?
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
20.06.2012, 15:24
| #15 |
| | Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite ich hab die Internetverbindung immer noch gekappt, daher weiß ichs nicht. Da ich keine Ahnung über den Stand der Reinigung des Systems habe weiß ich ja auch nicht, ob der Trojaner schon weg ist oder nicht. Ich befolge lediglich sklavisch Deine Anweisungen ;-) Ich hatte jetzt eine Malwarebytes Aktuallisierung mit der aktuellen mbam-rules Datei gemacht. Ich hoffe das reicht. Der Scan läuft gerade. |
|
| Themen zu Bundespolizei/GVU Trojaner nach Besuch auf Pornoseite |
| alternate, antivir, bho, bildschirm, branding, computer, desktop, document, einstellungen, entfernen, firefox, flash player, format, gvu trojaner entfernen windows xp, keine viren, plug-in, realtek, registry, searchscopes, software, symantec, taskmanager, tr/crypt.zpack.gen., trojaner, trojaner-board, version=1.0, viren, warnung, win32/reveton.h, win32/toolbar.asksbar, win32/toolbar.mywebsearch, wlan |
riginalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFiel dTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
Linear-Darstellung
