Bundespolizei / Spyware.Zeus

pesi · 30.07.2012, 19:46

Hallo,

ich bin verunsichert bzgl. der im Betreff genannten Sachen. Vielleicht kann mir jemand einen Rat, bzw. Hilfe geben?

Beim surfen im Internet ging plötzlich eine Seite auf, dass mein Computer gesperrt sei (ich glaube irgendwas mit Bundespolizei stand darauf). Daraufhin habe ich den PC einfach ausgeschaltet. Anschließend ist er ohne Probleme gestartet. Avira Free Antivirus fand 66 unerwünschte Objekte (im Netz wird gesagt, dass liege an einem Windowsupdate).
Eine Prüfung der Festplatte mit Malwarebyts brachte folgendes Ergebnis:

Infizierte Dateien: 2
C:\Users\...\AppData\Local\Temp\434308kas66797.exe (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\...\AppData\Roaming\msconfig.dat (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Diese Dateien habe ich gelöscht. Mein Rechner läuft ohne Probleme. Eine erneute Prüfung mit Avira, Malewarebyts und avast brachte keine Ergebnisse.

Nun zu meinen eigentlichen Fragen:

1. Bedeutet das, dass mein Rechner sauber ist und gefahrlos genutzt werden kann?
2. Irgendwo im Netz habe ich gelesen, das Zeus Passwörter für Internetbanking und E-Mail ausspäht. Muss ich nun meine Passwörter für Internetbanking, E-Mail usw. ändern?
3. Besteht noch eine aktuelle Gefahr für den Rechner bzw. für das Internetbanking?

Ich würde mich sehr freuen, wenn mir jemand die Fragen beantworten könnte. Bereits im Voraus vielen Dank.

Gruß

pesi

markusg · 30.07.2012, 20:34

hi
poste das Malwarebytes log vollständig.
außerdem:
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel

pesi · 30.07.2012, 21:28

Hallo markusg,

hier ist der log von malewarebyts:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.27.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
HSp :: HSP-PC [Administrator]

27.07.2012 20:11:54
mbam-log-2012-07-27 (20-11-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 565837
Laufzeit: 3 Stunde(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\HSp\AppData\Local\Temp\434308kas66797.exe (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\HSp\AppData\Roaming\msconfig.dat (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Oder wird ein aktueller log (ohne die Infizierten Dateien benötigt)?

Den Ordner habe ich hochgeladen. Ich habe aber keine Ahnung, wo der jetzt ist und wie man ihn findet.

Gruß

pesi

markusg · 30.07.2012, 22:29

danke, passt so!

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

pesi · 30.07.2012, 23:43

Hallo markusg,

vielen dank für deine Mühe.

Hier ist die ComboFixdatei:

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-07-30.01 - HSp 31.07.2012   0:16.1.4 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3959.2266 [GMT 2:00]
ausgeführt von:: c:\users\HSp\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
FW: ZoneAlarm Firewall *Enabled* {D17DF357-CFF5-F001-D1C1-FCD21DFE3D5E}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\Common Files\packardbell.ico
c:\programdata\FullRemove.exe
c:\users\HSp\AppData\Roaming\.#
c:\users\HSp\AppData\Roaming\msconfig.ini
c:\windows\SysWow64\muzapp.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-28 bis 2012-07-30  ))))))))))))))))))))))))))))))
.
.
2012-07-30 22:24 . 2012-07-30 22:24	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-07-29 21:45 . 2012-07-03 16:21	355856	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-07-29 21:45 . 2012-07-03 16:21	25232	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-07-29 21:45 . 2012-07-03 16:21	54072	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-07-29 21:45 . 2012-07-03 16:21	59728	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-07-29 21:45 . 2012-07-03 16:21	958400	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-07-29 21:45 . 2012-07-03 16:21	71064	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-07-29 21:45 . 2012-07-03 16:21	285328	----a-w-	c:\windows\system32\aswBoot.exe
2012-07-29 21:45 . 2012-07-03 16:21	41224	----a-w-	c:\windows\avastSS.scr
2012-07-29 21:45 . 2012-07-03 16:21	227648	----a-w-	c:\windows\SysWow64\aswBoot.exe
2012-07-29 21:45 . 2012-07-29 21:45	--------	d-----w-	c:\programdata\AVAST Software
2012-07-29 21:45 . 2012-07-29 21:45	--------	d-----w-	c:\program files\AVAST Software
2012-07-27 18:11 . 2012-07-27 18:11	--------	d-----w-	c:\users\HSp\AppData\Roaming\Malwarebytes
2012-07-27 18:11 . 2012-07-27 18:11	--------	d-----w-	c:\programdata\Malwarebytes
2012-07-27 18:11 . 2012-07-03 11:46	24904	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-27 18:11 . 2012-07-27 18:11	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-07-26 13:22 . 2012-07-26 13:25	--------	d-----w-	c:\users\HSp\AppData\Roaming\gp-Untis
2012-07-26 13:21 . 2012-07-26 13:21	--------	d-----w-	c:\program files (x86)\Untis
2012-07-22 10:32 . 2012-06-12 03:08	3148800	----a-w-	c:\windows\system32\win32k.sys
2012-07-22 10:18 . 2012-07-16 00:40	9133488	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{991F0167-8293-4AEF-A32D-7F51CB5AF2A7}\mpengine.dll
2012-07-22 10:14 . 2012-04-20 05:42	9059840	----a-w-	c:\windows\system32\mshtml.dll
2012-07-22 10:12 . 2012-04-24 05:37	184320	----a-w-	c:\windows\system32\cryptsvc.dll
2012-07-22 10:12 . 2012-04-24 05:37	140288	----a-w-	c:\windows\system32\cryptnet.dll
2012-07-22 10:12 . 2012-04-24 05:37	1462272	----a-w-	c:\windows\system32\crypt32.dll
2012-07-22 10:12 . 2012-04-24 04:36	140288	----a-w-	c:\windows\SysWow64\cryptsvc.dll
2012-07-22 10:12 . 2012-04-24 04:36	1158656	----a-w-	c:\windows\SysWow64\crypt32.dll
2012-07-22 10:12 . 2012-04-24 04:36	103936	----a-w-	c:\windows\SysWow64\cryptnet.dll
2012-07-22 10:06 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-07-22 10:06 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-07-22 10:06 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-07-22 10:06 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-07-22 10:06 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-07-22 10:06 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-07-22 10:06 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-07-22 10:06 . 2012-06-02 13:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-07-22 10:06 . 2012-06-02 13:15	36864	----a-w-	c:\windows\system32\wuapp.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-03 01:19 . 2010-07-24 13:12	59701280	----a-w-	c:\windows\system32\MRT.exe
2012-05-31 10:25 . 2010-06-08 21:21	279656	------w-	c:\windows\system32\MpSigStub.exe
2007-03-12 16:59 . 2007-03-12 16:59	299008	----a-w-	c:\program files (x86)\navigram_register.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared Files\brs.exe" [2009-11-11 75048]
"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"ZoneAlarm Client"="c:\program files (x86)\Zone Labs\ZoneAlarm\zlclient.exe" [2011-02-18 1043968]
"CanonSolutionMenuEx"="c:\program files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE" [2010-04-02 1185112]
"IJNetworkScanUtility"="c:\program files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2010-03-02 140640]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-01-16 421736]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-07-03 4273976]
.
c:\users\HSp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files (x86)\Microsoft Office\Office14\ONENOTEM.EXE [2011-9-2 227712]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WISO Mein Steuer-Sparbuch heute.lnk - c:\program files (x86)\WISO\Steuersoftware 2012\mshaktuell.exe [2012-4-8 1370224]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 253600]
R3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2010-07-15 16776]
R3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2010-07-15 9096]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-08 113120]
R3 NETw5s64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 64 Bit;c:\windows\system32\DRIVERS\NETw5s64.sys [2009-10-05 6952960]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-09-02 225280]
R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2011-06-02 157672]
R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2011-06-02 16872]
R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2011-06-02 177640]
R3 TFsExDisk;TFsExDisk;c:\windows\System32\Drivers\TFsExDisk.sys [2011-01-04 16392]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 TurboBoost;TurboBoost;c:\program files\Intel\TurboBoost\TurboBoost.exe [2009-11-02 126352]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2008-06-16 55024]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-11 27760]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2010/03/27 16:43];c:\program files (x86)\CyberLink\PowerDVD8\000.fcl [2009-11-11 15:46 146928]
S2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files (x86)\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-12-08 169312]
S2 AllShare;SAMSUNG AllShare Service;c:\program files (x86)\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [2010-07-16 6638080]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-11-24 202752]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-10-11 86224]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-07-03 71064]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2009-10-29 844320]
S2 Greg_Service;GRegService;c:\program files (x86)\Packard Bell\Registration\GregHSRW.exe [2009-08-28 1150496]
S2 TurboB;Turbo Boost UI Monitor driver;c:\windows\system32\DRIVERS\TurboB.sys [2009-11-02 13784]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-09-30 2320920]
S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2009-07-04 240160]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-12 151040]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2009-08-05 320040]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 07:59]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-07-03 16:21	133400	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-10-13 186904]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2009-10-29 822816]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-10-20 8306208]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2010-03-24 2726728]
"Logitech Download Assistant"="c:\windows\System32\LogiLDA.dll" [2010-11-03 1580368]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.facemoods.com/?a=ddr
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&m=easynote_lj75&r=273606105245l04f4z115f4592x542
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - c:\progra~2\MICROS~1\Office14\ONBttnIE.dll/105
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\HSp\AppData\Roaming\Mozilla\Firefox\Profiles\71wstn7b.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://start.facemoods.com/results.php?f=5&a=ddr&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Samsung\SAMSUNG PC Share Manager\http_ss_win_pro.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-31  00:33:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-07-30 22:33
.
Vor Suchlauf: 10 Verzeichnis(se), 37.568.319.488 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 37.681.688.576 Bytes frei
.
- - End Of File - - 3DF0A1B4A0BAE62EBDF9E767CBC683DD

--- --- ---

Gruß

pesi

markusg · 01.08.2012, 21:00

hi
lade den CCleaner standard:
CCleaner Download - CCleaner 3.21.1767
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

pesi · 01.08.2012, 22:16

Hey markusg,

hier ist die Liste:

7-Zip 9.20 (x64 edition) Igor Pavlov 04.01.2011 4,53MB 9.20.00.0 notwendig
Adobe AIR Adobe Systems Incorporated 03.06.2012 3.2.0.2070 unbekannt
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 27.03.2010 10.0.32.18 unbekannt
Adobe Flash Player 11 Plugin 64-bit Adobe Systems Incorporated 03.04.2012 6,00MB 11.2.202.228
Adobe Photoshop Elements 7.0 Adobe Systems Incorporated 27.03.2010 7.0.1 notwendig
Adobe Reader 9.4.1 MUI Adobe Systems Incorporated 16.01.2011 653MB 9.4.1 notwendig
Amazon MP3-Downloader 1.0.9 25.10.2011 notwendig
Apple Application Support Apple Inc. 09.02.2012 61,2MB 2.1.6 unbekannt
Apple Mobile Device Support Apple Inc. 09.02.2012 24,4MB 4.0.0.97 unbekannt
Apple Software Update Apple Inc. 09.02.2012 2,38MB 2.1.3.127 unbekannt
ATI Catalyst Install Manager ATI Technologies, Inc. 27.03.2010 22,1MB 3.0.754.0 notwendig
avast! Free Antivirus AVAST Software 29.07.2012 7.0.1456.0 unnötig
Avira Free Antivirus Avira 20.10.2011 104MB 12.0.0.855 notwendig
Bonjour Apple Inc. 09.02.2012 2,00MB 3.0.0.10 unbekannt
Canon Easy-PhotoPrint EX 11.07.2011 unbekannt
Canon IJ Network Scan Utility 11.07.2011 unbekannt
Canon IJ Network Tool 11.07.2011 unbekannt
Canon MG5200 series Benutzerregistrierung 11.07.2011 unbekannt
Canon MG5200 series MP Drivers 11.07.2011 unbekannt
Canon MP Navigator EX 4.0 11.07.2011 unbekannt
Canon My Printer 11.07.2011 unbekannt
Canon Solution Menu EX 11.07.2011 unbekannt
CCleaner Piriform 24.07.2012 3.21 notwendig
CD-LabelPrint 11.07.2011 unbekannt
CyberLink PowerDVD 8 CyberLink Corp. 27.03.2010 153MB 8.0.3520.50 notwendig
DVD Shrink 3.2 DVD Shrink 26.01.2011 notwendig
EASEUS Partition Master 6.5.2 Home Edition EASEUS 25.12.2010 38,5MB notwendig
FastPictureViewer WIC Codec Pack 1.70 Axel Rietschin Software Developments 10.03.2011 8,12MB 1.70.0.0 unbekannt
FileZilla Client 3.3.5.1 13.03.2011 3.3.5.1 notwendig
Identity Card Packard Bell 27.03.2010 1.00.3003 unbekannt
Intel(R) Management Engine Components Intel Corporation 28.03.2010 6.0.0.1179 unbekannt
Intel(R) Turbo Boost Technology Driver Intel Corporation 28.03.2010 01.00.00.1030 unbekannt
Intel® Matrix Storage Manager Intel Corporation 27.03.2010 unbekannt
iTunes Apple Inc. 09.02.2012 170MB 10.5.3.3 notwendig
Java(TM) 6 Update 31 Oracle 15.03.2012 95,1MB 6.0.310 notwendig
JDownloader AppWork UG (haftungsbeschränkt) 24.01.2011 notwendig
Malwarebytes Anti-Malware Version 1.62.0.1300 Malwarebytes Corporation 27.07.2012 18,7MB 1.62.0.1300 notwendig
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 05.06.2011 38,8MB 4.0.30320 unbekannt
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 05.06.2011 2,93MB 4.0.30320 unbekannt
Microsoft Office FrontPage 2003 Microsoft Corporation 22.07.2012 474MB 11.0.8173.0 notwendig
Microsoft Office Home and Student 2010 Microsoft Corporation 18.05.2012 14.0.6029.1000 notwendig
Microsoft Outlook 2010 Microsoft Corporation 18.05.2012 14.0.6029.1000 unnötig
Microsoft Silverlight Microsoft Corporation 18.05.2012 134MB 4.1.10329.0 unbekannt
Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 27.03.2010 1,72MB 3.1.0000 unbekannt
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 22.06.2011 300KB 8.0.61001 unbekannt
Microsoft Visual C++ 2005 Redistributable (x64) Microsoft Corporation 13.04.2012 572KB 8.0.61000 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 08.06.2011 1,42MB 9.0.21022 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 19.05.2011 588KB 9.0.30729.4148 unbekannt
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 22.06.2011 600KB 9.0.30729.6161 unbekannt
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 10.11.2011 16,5MB 10.0.40219 unbekannt
MozBackup 1.4.10 Pavel Cvrcek 02.01.2011 notwendig
Mozilla Firefox 13.0.1 (x86 de) Mozilla 08.07.2012 37,4MB 13.0.1 notwendig
Mozilla Maintenance Service Mozilla 08.07.2012 309KB 13.0.1 unbekannt
Mozilla Thunderbird 13.0.1 (x86 de) Mozilla 08.07.2012 40,5MB 13.0.1 notwendig
Mp3tag v2.49a Florian Heidenreich 19.11.2011 v2.49a notwendig
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 22.06.2010 1,27MB 4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 22.06.2010 1,33MB 4.20.9876.0 unbekannt
Nero 9 Essentials Nero AG 05.11.2009 notwendig
Nikon Message Center Nikon 26.12.2010 204KB 0.92.000 unnötig
Nikon Transfer Nikon 26.12.2010 47,4MB 1.1.1 notwendig
Packard Bell InfoCentre Packard Bell 27.03.2010 3.02.3000 unbekannt
Packard Bell Power Management Packard Bell 27.03.2010 4.05.3006 unbekannt
Packard Bell Recovery Management Packard Bell 27.03.2010 4.05.3007 unbekannt
Packard Bell Registration Packard Bell 27.03.2010 1.02.3006 unbekannt
Packard Bell ScreenSaver Packard Bell Incorporated 27.03.2010 1.4.0730 unbekannt
Packard Bell Updater Packard Bell 05.11.2009 1.01.3017 unbekannt
Picture Control Utility Nikon 26.12.2010 18,6MB 1.1.2 notwendig
Poladroid Poladroid.net 16.03.2012 16,6MB 0.9.6.0 unnötig
QuickTime Apple Inc. 27.12.2010 73,7MB 7.69.80.9 notwendig
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 05.11.2009 6.0.1.5963 unbekannt
Realtek USB 2.0 Card Reader Realtek Semiconductor Corp. 05.11.2009 6.1.7600.30104 unbekannt
Saal Design Software SSW Software GmbH 23.11.2011 2.9.2 notwendig
Samsung Kies Samsung Electronics Co., Ltd. 11.01.2011 168MB 2.0.0.11011_16 unnötig
SAMSUNG PC Share Manager SAMSUNG 10.03.2011 22,1MB 4.0 unbekannt
SAMSUNG USB Driver for Mobile Phones SAMSUNG Electronics Co., Ltd. 14.04.2012 42,9MB 1.5.4.0 unbekannt
Skype™ 5.1 Skype Technologies S.A. 31.01.2011 16,3MB 5.1.104 notwendig
Synaptics Pointing Device Driver Synaptics Incorporated 27.03.2010 14.0.12.0 unbekannt
UBitMenuDE UBit Schweiz AG 10.07.2011 01.04 unbekannt
Untis 2013 Gruber&Petters 26.07.2012 2013 notwendig
Video Web Camera SuYin 27.03.2010 0.5.11.1 unbekannt
ViewNX Nikon 26.12.2010 27,5MB 1.1.1 unnötig
VLC media player 1.1.7 VideoLAN 28.02.2011 1.1.7 notwendig
Welcome Center Packard Bell 27.03.2010 1.00.3009 unbekannt
Windows Live Anmelde-Assistent Microsoft Corporation 27.03.2010 1,93MB 5.000.818.5 unbekannt
Windows Live Essentials Microsoft Corporation 27.03.2010 14.0.8089.0726 unbekannt
Windows Live Sync Microsoft Corporation 27.03.2010 2,79MB 14.0.8089.726 unbekannt
Windows Live-Uploadtool Microsoft Corporation 27.03.2010 224KB 14.0.8014.1029 unbekannt
WISO Steuer-Sparbuch 2011 Buhl Data Service GmbH 19.05.2011 18.00.6928 notwendig
WISO Steuer-Sparbuch 2012 Buhl Data Service GmbH 08.04.2012 19.00.7303 notwendig
ZoneAlarm Check Point, Inc 10.07.2011 9.2.105.000 notwendig
Überwachungstool für die Intel® Turbo-Boost-Technik Intel 27.03.2010 1,13MB 1.0.186.6 unbekannt

Bei manchen Programmen, wie z.B. die Druckerprogramme, weiß ich nicht ob diese notwendig sind.

Gruß

pesi

Hallo markusg,

da ich morgen in Urlaub fahre, schreckliche Dinge über Zeus gelesen habe und heute nochmal onlinbanking machen musste,
habe ich Windows neu aufgesetzt. Dabei wurde alle Daten von der Partition C: gelöscht. Ich hoffe auch alle Viren/Spyware-Reste. Die Partition E: auf der meine Daten liegen (z.B. Bilder) habe ich nicht formatiert. ich hoffe dennoch, dass alles in Ordnung ist. Oder muss ich E: auch formatieren? Dann müsste ich aber auch die externe Festplatte formatieren - und dann wären ja alle Daten weg...
Bei dir bedanke ich mich ganz, ganz herzlich für deine tolle Unterstützung. Das war wirklich toll. Vielen Dank!

Gruß

pesi

Hallo markusg,

da ich morgen in Urlaub fahre, schreckliche Dinge über Zeus gelesen habe und heute nochmal onlinbanking machen musste,
habe ich Windows neu aufgesetzt. Dabei wurde alle Daten von der Partition C: gelöscht. Ich hoffe auch alle Viren/Spyware-Reste. Die Partition E: auf der meine Daten liegen (z.B. Bilder) habe ich nicht formatiert. ich hoffe dennoch, dass alles in Ordnung ist. Oder muss ich E: auch formatieren? Dann müsste ich aber auch die externe Festplatte formatieren - und dann wären ja alle Daten weg...
Bei dir bedanke ich mich ganz, ganz herzlich für deine tolle Unterstützung. Das war wirklich toll. Vielen Dank!

Gruß

pesi

30.07.2012, 20:34	#2
markusg /// Malware-holic	Bundespolizei / Spyware.Zeus hi poste das Malwarebytes log vollständig. außerdem: für eine weitere analyse benötige ich mal folgendes. c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte Trojaner-Board Upload Channel __________________ __________________

Bundespolizei / Spyware.Zeus

Plagegeister aller Art und deren Bekämpfung: Bundespolizei / Spyware.Zeus