|
Log-Analyse und Auswertung: U-Cash-Trojaner startet bei Browserstart und legt Vista lahmWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.08.2012, 23:45 | #1 |
| U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Hallo, ich bitte um Hilfe beim U-Cash-Trojaner. Bin ein durchschnittlicher User, also keine Ahnung hiervon. Habe evt. irgendwo auf hxxp:\\www.serienjunkies.org einen infizierten Link erwischt, obwohl ich nicht als Administrator gesurft bin. Plötzlich erschien auf dem gesamten Bildschirm ein Text von der angeblichen Bundespolizei, ich hätte einen von mehreren Gesetzesverstößen begangen, die dann aufgeführt wurden, teilweise mit Info, welches Strafmaß darauf steht, z.B. Nutzung von urheberrechtlich geschützten Inhalten, Download von verbotenen pornografischen Inhalten, oder mein Computer wurde ohne mein Wissen zum Versenden von Spams verwendet, und noch einiges andere. Es war eine IP-Adresse dargestellt, die meine sei, und es wurde gesagt, dass gerade meine Identität bestimmt würde und innerhalb der kommenden 72 Stunden ein Strafverfahren gegen mich angestrebt würde. Ich könne dies vermeiden, wenn ich innerhalb dieser Zeit 100 Euro mittels UCash-Verfahren oder einem anderen Verfahren, die dann beide erklärt wurden, zahlen würde. Ansonsten würde nach weiteren 72 Stunden ein Strafverfahren gestartet. Möglich sei diese 100-Euro-Regelung durch eine Gesetzesänderung von ca. Mitte August 2012 (habe den genauen Tag vergessen). Gleichzeitig wurde meine Screen-Kamera aktiviert, so dass ich mich in einem kleinen Kästchen auf dem Bildschirm sah. Habe diesen Trojaner-Screen leider nicht fotografiert. Da ich per W-Lan im Netz war, konnte ich kein LAN-Kabel ziehen und den Bildschirm nur durch Herunterfahren mittels Gedrückthalten der An-Taste verlassen. Nach erneutem Hochfahren konnte ich scheinbar normal auf Vista arbeiten, wenngleich ständig die Meldung kam „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“, doch sobald ich wieder Internetverbindung herstellte und den Internet Explorer öffnete, erschien wieder die Bundespolizei-Meldung und der Laptop war blockiert. Im Nachhinein habe ich festgestellt, dass ich nicht mehr im Abgesicherten Modus mit Eingabeaufforderung starten konnte, wohl aber im Abgesicherten Modus. Der Laptop ist übrigens in kein Netzwerk integriert. Habe dann mein täglich geupdatetes Avira Free Antivirus gestartet und eine Schnelle Systemprüfung auf C: ohne Administratorrechte durchgeführt. Ergebnis (da ich mich nicht traue, das logfile vom infizierten Rechner auf Datenträger zu kopieren oder mit dem infizierten Rechner wieder online zu gehen, damit er nicht womöglich Malware nachlädt, muss ich alle folgenden logfiles abtippen und beschränke mich auf das Nötigste und hoffentlich Relevante): … Beginne mit der Suche in ‘C:\Users\XXX’ C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe [WARNUNG] Unerwartetes Dateiende erreicht C: \Users\XXX\Downloads\Downloads\video_downloader.exe Beginne mit der Suche in ‘C:\Windows’ Beginne mit der Suche in ‘C:\Users\’ C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe [WARNUNG] Unerwartetes Dateiende erreicht C: \Users\XXX\Downloads\Downloads\video_downloader.exe Beginne mit der Suche in ‘C:\Program Files‘ Beginne mit der Desinfektion: C: \Users\XXX\Downloads\Downloads\video_downloader.exe [FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚569119be.qua‘ verschoben! C:\Users\XXX\AppData\Local\Microsoft\Temporary Internet Files\Content.IE5\0SG8HQCs\video_downloader.exe [FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚4e063619.qua‘ verschoben! Ende des Suchlaufs… … 4 Viren bzw. unerwünschte Programme wurden gefunden … 2 Dateien wurden in die Quarantäne verschoben … 8 Warnungen 2 Hinweise Mir fällt ein, dass ich die im logfile genannte Datei video_downloader.exe irgendwo ca. 3 Tage zuvor von serienjunkies.org runtergeladen und möglicherweise auch gestartet hatte, aber eben nicht erst kurz vor Auftauchen des Trojaners. Kurz nach Runterladen der Datei video_downloader.exe hatte avira auch mehrmals eine Meldung angezeigt, dass das Virus ‚Adware‘ gefunden worden sei, irgendwann gab es diese Meldung dann aber nicht mehr. Video_downloader.exe müsste ein download gewesen sein, zu dem ich aufgefordert wurde, als ich entweder nach Streams von Spartacus oder Games of Thrones gesucht habe – sollte ich den Admin von serienjunkies-org informieren? Sollte ich bei der Polizei Anzeige erstatten? Die Desinfektion durch avira hat nichts gebracht. Avira konnte ab dann auch nicht mehr updaten. Habe danach mit avira eine Vollständige Systemprüfung auf C: und D: durchgeführt und folgendes Ergebnis bekommen: … Beginne mit der Suche in ‘C:\‘ <BOOT> C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V015TM4T/avira_free_antivirus_de.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_0000f2 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\AppData\LocalLow\Google\GoogleEarth\webdata\f_000101 [WARNUNG] Unerwartetes Dateiende erreicht C:\Users\XXX\Desktop\XXX diverses\XXX\OOo_2.2.0_Win32Intel_install_de.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\Users\XXX\Desktop\XXX Schule\wechsel\kramixer.exe [WARNUNG] Unerwartetes Dateiende erreicht Beginne mit der Suche in ‘D:\‘ <RECOVER> Beginne mit der Desinfektion: C:\$RECYCLE.BIN\S-1-5-21-2799112012-1549174850-2009520858-1000\$RCYTGJ2.exe [FUND] Enthält Erkennungsmuster der Adware ADWARE/InstallCor.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen ‚56cd5a57.qua‘ verschoben! Ende des Suchlaufs… … 1 Viren bzw. unerwünschte Programme wurden gefunden … 1 Dateien wurden in die Quarantäne verschoben … 5 Warnungen 1 Hinweise Habe dann auf anderem Rechner gegoogelt und einige Infos über den UCash-Trojaner gefunden, aber nur überflogen. Bin dann auf euch gestoßen und habe entsprechend euren Anweisungen die folgenden Schritte unternommen, wobei ich die nötigen Programme davor auf CD gebrannt habe und von CD auf den infizierten Rechner kopiert und von dort gestartet habe: Habe Malwarebytes AntiMalware auf den infizierten Rechner gebracht. Da die Malware-Datenbank schon 40 Tage alt war, habe ich die rules.ref-Datei durch die aktuelle rules.ref-Datei ersetzt – dann ließ sich Malwarebytes aber nicht mehr starten und gab eine Fehlermeldung aus. Habe dann die 40 Tage alte Malwarebytes AntiMalware gestartet und danach einen Neustart gemacht. Hier ist das logfile: Malwarebytes Anti-Malware (Test) 1.62.0.1300 … Datenbank Version: v2012.07.03.05 Windows Vista Service Pack 2 x86 NFTS Internet Explorer 9.0.8112.16421 Admin :: xxx-PC [Administrator] Schutz: Deaktiviert 12.08.2012 15:01:10 mbam-log-2012-08-12 (15-01-19).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\ID:\) Aktivierte Suchlaufeinstellungen: Speicher – Autostart –Registrierung – Dateisystem – Heuristiks/Extra – Heuristiks/Shuriken – PUP – PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 499669 Laufzeit: 1 Stunde, 38 Min … Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion/Uninstall\Video Downloader (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt. … Infizierte Dateien: 1 C.\Program Files\vGrabber-software/‘Uninstall.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Habe dann defogger gestartet entsprechend euren Anweisungen –ohne Fehlermeldung. Habe dann defogger geschlossen. Neustart. Fehlermeldung „Windows-Hostprozess (Rundll32) funktioniert nicht mehr“ erhalten. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled. Habe dann OTL mehrfach gestartet, weil ich vergessen hatte, das System neu zu starten bzw. den Avira-Echtzeitscanner zu deaktivieren und Malwarebytes Protection zu disablen. Quick Scan durchgeführt. Das „Extras“-Scan-log ist allerdings nur beim ersten Starten von OTL erstellt worden… Meint ihr, ich kann es riskieren, die scan logs per USB-Stick auf einen anderen Rechner zu kopieren, oder riskiere ich dann eine Verseuchung des anderen Rechners? Ansonsten müsste ich die gesamten langen scan logs abtippen??? Oder soll ich schauen, ob ich inzwischen wieder ins Internet kann? Dann kann ich die scan logs vom infizierten Rechner aus posten…??? System neugestartet. Habe Avira-Echtzeitscanner deaktiviert und Malwarebytes Protection disabled. Dann gmer gestartet. Während des Scans Fehlermeldung „96jksucf.exe funktioniert nicht mehr“. Problemereignisname: APPCRASH Anwendungsname: 96jksucf.exe Anwendungsversion: 1.0.15.15641 Anwendungszeitstempel: 4e21f2b1 Fehlermodulname 96jksucf.exe Fehlermodulversion: 1.0.15.15641 Fehlermodulzeitstempel 4e21f2b1 Ausnahmecode c0000005 Ausnahmeoffset 0000c676 Betriebssystemversion 6.0.6002.2.2.0.768.3 Gebietsschema-ID 1031 Zusatzinformation 1: a76a Zusatzinformation 2: 5cf9039e0c8e4e0bf02ab3e23db0c4f0 Zusatzinformation 3: b114 Zusatzinformation 4: d9d01fee0875b74ac070be8d125aa4b2 Habe dann das Programm geschlossen. Was kann ich nun tun? Auf dem Rechner sind nur einige Office-Dokumente, Audios und Videos sowie Mails und Kontakte, die ich gerne retten würde und die auch problemlos geöffnet werden können. Danke im Voraus! |
16.08.2012, 10:49 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Lass die Finger von solchen Portalen!
__________________Die Links zu den Filmen verweisen immer auf irgendwelche 1click Hoster, diese Angebote sind illegal und meistens ungeprüft! Zudem haben solche Portale meist die Nutzer in Abofallen laufen lassen und gerade solche standen schon vor Monaten in dem Verdacht, Malware zu verteilen zB über Exploits, die den Bundestrojaner bzw. deren Ableger auf verwundbare Rechner installiert! Poste bitte alle Logs von Malwarebytes vollständig und unzensiert Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ |
16.08.2012, 12:31 | #3 |
| U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Vielen Dank für deine Antwort, ja, man lernt wohl am besten durch Schmerz.
__________________Wie bekomme ich das log vom infizierten Rechner runter, ohne zu riskieren, andere Rechner zu infizieren, oder kann ich nach Ausführen von Malwarebytes wieder versuchen, mit dem Rechner online zu gehen? Danke! Geändert von IamShine (16.08.2012 um 13:15 Uhr) |
16.08.2012, 13:52 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Ja mit dem Rechner ins Internet gehen, für eine Analyse/Bereinigung brauchen wir das eh
__________________ Logfiles bitte immer in CODE-Tags posten |
16.08.2012, 14:20 | #5 |
| U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Auch nach Durchlauf der 40-Tage alten Malwarebytes-Version ist der Trojaner noch drauf, wenn ich den Browser im normalen Modus starte...??? Der Trojaner hat sich nun verändert - nicht erst bei Browserstart, sondern schon bei Einloggen ins Internet wird er aktiv und blockiert alles. Wollte gerade im abgesicherten Modus mit Eingabeaufforderung starten - dabei Systemabsturz während des Bootvorgangs... Habe nun noch einmal einen fullscan mit Malwarebytes 1.62.0.1300 gemacht, ohne Befunde (und trotzdem ist der Trojaner ab Interneteinwahl aktiv). Wie gesagt, ist die rules.ref-Datei mittlerweile mehr als 40 Tage alt, ich kann sie aber nicht durch die aktuelle ersetzen, weil sich Malwarebytes dann nicht mehr starten lässt. Neustart im abgesicherten Modus mit Eingabeaufforderung hat eben gerade funktioniert, falls das hilft??? Geändert von IamShine (16.08.2012 um 14:34 Uhr) |
17.08.2012, 17:22 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Abgesicherter Modus zur Bereinigung
__________________ --> U-Cash-Trojaner startet bei Browserstart und legt Vista lahm |
17.08.2012, 17:47 | #7 |
| U-Cash-Trojaner startet bei Browserstart und legt Vista lahm ja, danke! Schreibe gerade vom infizierten Rechner. Soll ich die aktualisierte Malwarebytes-Version runterladen und fullscan machen? Dauert über 1 Stunde. Hallo Cosinus, meine Antwort von eben taucht im Thread gar nicht auf? Die Antwort war ja. Habe jetzt die aktualisierte Malwarebytes ausgeführt, Quickscan, und 2 Trojaner gefunden und die 2 gefundenen Trojaner noch nicht entfernt. Hier das logfile: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.17.06 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 Admin :: GERRIT-PC [Administrator] Schutz: Deaktiviert 17.08.2012 18:57:31 mbam-log-2012-08-17 (19-11-11).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 229066 Laufzeit: 3 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\Gerrit\AppData\Local\Temp\update00.b.exe (Trojan.Inject) -> Keine Aktion durchgeführt. C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Keine Aktion durchgeführt. (Ende) habe jetzt auch den vollständigen scan durchgeführt. Hier das logfile: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.17.06 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 Admin :: GERRIT-PC [Administrator] Schutz: Deaktiviert 17.08.2012 19:35:04 mbam-log-2012-08-17 (19-35-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 395104 Laufzeit: 51 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS001FD.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS001FE.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
17.08.2012, 21:08 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code:
ATTFilter "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt" Code:
ATTFilter "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt" Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ Logfiles bitte immer in CODE-Tags posten |
17.08.2012, 21:46 | #9 |
| U-Cash-Trojaner startet bei Browserstart und legt Vista lahm ja, habe in den letzten Tagen mehrfach Malwarebytes gestartet, und ich finde 6 log-Dateien im Reiter von malwarebytes, kann aber nicht mehr posten, weil ich mich vom infizierten Rechner aus scheinbar nicht mehr in euer Board einloggen kann. Schon bei Einwahl ins WLAN braucht der Rechner ca. 4-5 Versuche, bevor es klappt. Wenn ich mich dann im Trojaner-Board einlogge, kommt zwar der Wollkommensgruß, aber auf der Startseite ist dann kein Benutzername eingetragen (egal ob ich gerade mit einem anderen Rechner bei euch eingeloggt bin oder nicht). Wenn ich dann ein paar andere Links auf eurer Startseite klicke, bis irgendwo unten "Gehe zu Benutzerkontrollzentrum" anklickbar ist, komme ich darüber auf den normalen Startbildschirm mit Text "Willkommen, IamShine". Wenn ich dann in Meine Themen reingehe, zeigt er mir nur den Thread-Stand an, den ich hatte, direkt bevor ich den fullscan mit Malwarebytes gemacht habe (letzter Beitrag 18:22 von cosinus), und ich kann darauf nicht direkt antworten, weil das securitytoken nicht mehr gültig ist (aber von einem sicheren Rechner aus, von dem aus ich jetztg schreibe, habe ich Zugriff auf den späteren Thread-Verlauf bis jetzt). Übrigens arbeite ich die ganze Zeit über nur aus dem abgesicherten Modus mit Netzwerktreibern heraus, soll ich es mal aus de´m normalen Modus probieren? Okay, 30 Min. später - lasse gerade ESET laufen. Weiß aber noch nicht, wie ich das ESET-log und die 6 malwarebytes-logs ins Forum bringen soll, da die Anmeldung nicht von dem Rechner aus klappt, auch nicht im normalen Windows-Modus, in dem ich jetzt bin, sondern immer auf dem Stand um ca. 18 Uhr ist, kurz bevor ich mit Malwarebytes 2 Trojanerfiles gefunden habe...??? Die 6 malware-logs und das ESET-log hätte ich hier, ESET hat 7 Hits angezeigt, kann aber nicht vom infizierten Rechner ins Forum einloggen, um zu posten - soll ich mal von dem Rechner aus ein neues Thema eröffnen, um die logs darüber reinzustellen - das funktioniert nämlich, gerade probiert...? Komme jetzt übrigens wieder immer beim ersten Einwählen ins Internet. Geändert von IamShine (17.08.2012 um 22:29 Uhr) |
18.08.2012, 13:11 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Bitte kein neues Thema aufmachen! Schieb die Logs auf einen Stick und dann postest du die Logs von einem funktionierenden Rechner aus
__________________ Logfiles bitte immer in CODE-Tags posten |
18.08.2012, 15:51 | #11 |
| U-Cash-Trojaner startet bei Browserstart und legt Vista lahm danke. Hatte nur Angst, dass ich mir den nächsten Rechner infiziere. erstes protection log von malwarebytes: Code:
ATTFilter 2012/08/12 11:56:01 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/12 11:56:05 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/12 11:56:08 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/12 11:56:10 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully 2012/08/12 12:01:28 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/12 12:01:31 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/12 12:01:34 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/12 12:01:37 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully 2012/08/12 12:18:09 +0200 GERRIT-PC Gerrit MESSAGE Executing scheduled update: Daily 2012/08/12 12:18:09 +0200 GERRIT-PC Gerrit ERROR Scheduled update failed: Host not found failed with error code 0 2012/08/12 14:59:28 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/12 14:59:31 +0200 GERRIT-PC Gerrit ERROR Integrity verification failed failed with error code 2 2012/08/12 14:59:31 +0200 GERRIT-PC Gerrit MESSAGE Protection stopped 2012/08/12 21:50:28 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/12 21:50:31 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/12 21:50:34 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/12 21:50:37 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully 2012/08/12 23:35:14 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/12 23:35:17 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/12 23:35:20 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/12 23:35:23 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully Code:
ATTFilter Malwarebytes Anti-Malware (Trial) 1.62.0.1300 www.malwarebytes.org Database version: v2012.07.03.05 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Gerrit :: GERRIT-PC [limited] Protection: Enabled 12.08.2012 12:00:45 mbam-log-2012-08-12 (12-00-45).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 158442 Time elapsed: 6 minute(s), 56 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) Code:
ATTFilter 2012/08/13 00:02:53 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/13 00:02:56 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/13 00:02:59 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/13 00:03:02 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully Code:
ATTFilter 2012/08/16 13:39:14 +0200 GERRIT-PC (null) MESSAGE Executing scheduled update: Daily 2012/08/16 13:39:14 +0200 GERRIT-PC (null) ERROR Scheduled update failed: Host not found failed with error code 0 2012/08/16 15:17:00 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/16 15:17:06 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/16 15:17:09 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/16 15:17:13 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully 2012/08/16 15:24:28 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/16 15:24:33 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/16 15:24:36 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/16 15:24:39 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully 2012/08/16 15:41:03 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/16 15:41:06 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/16 15:41:09 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/16 15:41:14 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully Code:
ATTFilter Malwarebytes Anti-Malware (Trial) 1.62.0.1300 www.malwarebytes.org Database version: v2012.07.03.05 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Gerrit :: GERRIT-PC [limited] Protection: Enabled 16.08.2012 15:40:45 mbam-log-2012-08-16 (15-40-45).txt Scan type: Full scan (C:\|D:\|) Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 319636 Time elapsed: 1 hour(s), 1 minute(s), 10 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) Code:
ATTFilter 2012/08/17 22:54:56 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/17 22:54:59 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/17 22:55:02 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/17 22:55:05 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully 2012/08/17 22:57:46 +0200 GERRIT-PC Gerrit MESSAGE Executing scheduled update: Daily 2012/08/17 22:57:57 +0200 GERRIT-PC Gerrit MESSAGE Scheduled update executed successfully: database updated from version v2012.08.17.06 to version v2012.08.17.07 2012/08/17 22:57:57 +0200 GERRIT-PC Gerrit MESSAGE Starting database refresh 2012/08/17 22:57:57 +0200 GERRIT-PC Gerrit MESSAGE Stopping IP protection 2012/08/17 22:57:59 +0200 GERRIT-PC Gerrit MESSAGE IP Protection stopped 2012/08/17 22:58:02 +0200 GERRIT-PC Gerrit MESSAGE Database refreshed successfully 2012/08/17 22:58:02 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/17 22:58:06 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully 2012/08/17 23:04:04 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/17 23:04:08 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/17 23:04:11 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/17 23:04:14 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully 2012/08/17 23:13:55 +0200 GERRIT-PC Gerrit MESSAGE Stopping IP protection 2012/08/17 23:13:57 +0200 GERRIT-PC Gerrit MESSAGE IP Protection stopped Code:
ATTFilter 2012/08/18 01:37:39 +0200 GERRIT-PC Gerrit MESSAGE Starting protection 2012/08/18 01:37:42 +0200 GERRIT-PC Gerrit MESSAGE Protection started successfully 2012/08/18 01:37:45 +0200 GERRIT-PC Gerrit MESSAGE Starting IP protection 2012/08/18 01:37:48 +0200 GERRIT-PC Gerrit MESSAGE IP Protection started successfully ESET-log: Code:
ATTFilter ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=d9f70cbada8f204687b945fe232116fa # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-08-17 11:18:50 # local_time=2012-08-18 01:18:50 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=1792 16777215 100 0 1918396 1918396 0 0 # compatibility_mode=5892 16776573 100 100 570 182771422 0 0 # compatibility_mode=8192 67108863 100 0 177 177 0 0 # scanned=176550 # found=7 # cleaned=0 # scan_time=6836 C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3S9VIRQ7\CreativeHandler[1].htm HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3S9VIRQ7\JDownloaderSetup_CH4[1].exe a variant of Win32/InstallCore.AL application (unable to clean) 00000000000000000000000000000000 I C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IPPJNAHC\CreativeHandler[1].htm HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IPPJNAHC\finish[1].htm HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V015TM4T\offer[1].htm HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I C:\Users\Gerrit\AppData\Local\Temp\Low\V.class a variant of Java/Exploit.CVE-2011-3544.BQ trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\Gerrit\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\50d1dd7-61e5f91d a variant of Java/Exploit.CVE-2012-1723.AL trojan (unable to clean) 00000000000000000000000000000000 I Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.03.05 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Admin :: GERRIT-PC [Administrator] Schutz: Deaktiviert 12.08.2012 15:01:10 mbam-log-2012-08-12 (15-01-10).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 409669 Laufzeit: 1 Stunde(n), 38 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video Downloader (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Program Files\vGrabber-software\Uninstall.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.17.06 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 Admin :: GERRIT-PC [Administrator] Schutz: Deaktiviert 17.08.2012 18:57:31 mbam-log-2012-08-17 (18-57-31).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 229066 Laufzeit: 3 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\Gerrit\AppData\Local\Temp\update00.b.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Gerrit\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.17.06 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 Admin :: GERRIT-PC [Administrator] Schutz: Deaktiviert 17.08.2012 19:35:04 mbam-log-2012-08-17 (19-35-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 395104 Laufzeit: 51 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS001FD.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS001FE.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
19.08.2012, 18:09 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | U-Cash-Trojaner startet bei Browserstart und legt Vista lahm adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.08.2012, 20:02 | #13 |
| U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Hallo cosinus, hier das adwcleaner-log: Code:
ATTFilter # AdwCleaner v1.801 - Logfile created 08/19/2012 at 20:59:13 # Updated 14/08/2012 by Xplode # Operating system : Windows Vista (TM) Home Premium Service Pack 2 (32 bits) # User : Admin - GERRIT-PC # Boot Mode : Normal # Running from : C:\Users\Gerrit\Desktop\adwcleaner.exe # Option [Search] ***** [Services] ***** Found : WajamUpdater ***** [Files / Folders] ***** Folder Found : C:\Users\Admin\AppData\Local\Conduit Folder Found : C:\Users\Admin\AppData\Local\Wajam Folder Found : C:\Users\Gerrit\AppData\LocalLow\Conduit Folder Found : C:\Users\Gerrit\AppData\LocalLow\DVDVideoSoftTB_DE Folder Found : C:\Users\Gerrit\AppData\LocalLow\PriceGong Folder Found : C:\Users\Admin\AppData\LocalLow\DVDVideoSoftTB_DE Folder Found : C:\Users\Admin\AppData\LocalLow\PriceGong Folder Found : C:\Program Files\Conduit Folder Found : C:\Program Files\DVDVideoSoftTB_DE Folder Found : C:\Program Files\Wajam File Found : C:\Users\Admin\AppData\Local\Temp\Uninstall.exe ***** [Registry] ***** [*] Key Found : HKLM\SOFTWARE\Classes\Toolbar.CT2625848 Key Found : HKCU\Software\AppDataLow\Software\Conduit Key Found : HKCU\Software\AppDataLow\Software\PriceGong Key Found : HKCU\Software\Wajam Key Found : HKLM\SOFTWARE\Classes\wajam.WajamBHO Key Found : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1 Key Found : HKLM\SOFTWARE\Classes\wajam.WajamDownloader Key Found : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1 Key Found : HKLM\SOFTWARE\Conduit Key Found : HKLM\SOFTWARE\DVDVideoSoftTB_DE Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoftTB_DE Toolbar Key Found : HKLM\SOFTWARE\Software Key Found : HKLM\SOFTWARE\Wajam ***** [Registre - GUID] ***** Key Found : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634} Key Found : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} Key Found : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} Key Found : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D} Key Found : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Key Found : HKLM\SOFTWARE\Classes\CLSID\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF} Key Found : HKLM\SOFTWARE\Classes\CLSID\{457EF9F0-0A7C-4302-B47B-C207A8DE8598} Key Found : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} Key Found : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D} Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1AA251B0-F6F1-402F-AA9D-8038D60CC893} Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F842528F-E054-49AC-BD24-8FA4F43DF24E} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{457EF9F0-0A7C-4302-B47B-C207A8DE8598} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{457EF9F0-0A7C-4302-B47B-C207A8DE8598} Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}] Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}] Value Found : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}] Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}] ***** [Internet Browsers] ***** -\\ Internet Explorer v9.0.8112.16421 [OK] Registry is clean. ************************* AdwCleaner[R1].txt - [4282 octets] - [19/08/2012 20:59:13] ########## EOF - C:\AdwCleaner[R1].txt - [4410 octets] ########## |
20.08.2012, 21:34 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | U-Cash-Trojaner startet bei Browserstart und legt Vista lahm adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
__________________ Logfiles bitte immer in CODE-Tags posten |
20.08.2012, 22:22 | #15 |
| U-Cash-Trojaner startet bei Browserstart und legt Vista lahm Hier das log: Code:
ATTFilter # AdwCleaner v1.801 - Logfile created 08/20/2012 at 23:15:34 # Updated 14/08/2012 by Xplode # Operating system : Windows Vista (TM) Home Premium Service Pack 2 (32 bits) # User : Admin - GERRIT-PC # Boot Mode : Normal # Running from : C:\Users\Gerrit\Desktop\adwcleaner.exe # Option [Delete] ***** [Services] ***** Stopped & Deleted : WajamUpdater ***** [Files / Folders] ***** Folder Deleted : C:\Users\Admin\AppData\Local\Conduit Folder Deleted : C:\Users\Admin\AppData\Local\Wajam Folder Deleted : C:\Users\Gerrit\AppData\LocalLow\Conduit Folder Deleted : C:\Users\Gerrit\AppData\LocalLow\DVDVideoSoftTB_DE Folder Deleted : C:\Users\Gerrit\AppData\LocalLow\PriceGong Folder Deleted : C:\Users\Admin\AppData\LocalLow\DVDVideoSoftTB_DE Folder Deleted : C:\Users\Admin\AppData\LocalLow\PriceGong Folder Deleted : C:\Program Files\Conduit Folder Deleted : C:\Program Files\DVDVideoSoftTB_DE Folder Deleted : C:\Program Files\Wajam Deleted on reboot : C:\Users\Admin\AppData\Local\TempC:\Program Files\Software ***** [Registry] ***** [*] Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2625848 Key Deleted : HKCU\Software\AppDataLow\Software\Conduit Key Deleted : HKCU\Software\AppDataLow\Software\PriceGong Key Deleted : HKCU\Software\Wajam Key Deleted : HKLM\SOFTWARE\Classes\wajam.WajamBHO Key Deleted : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1 Key Deleted : HKLM\SOFTWARE\Classes\wajam.WajamDownloader Key Deleted : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1 Key Deleted : HKLM\SOFTWARE\Conduit Key Deleted : HKLM\SOFTWARE\DVDVideoSoftTB_DE Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DVDVideoSoftTB_DE Toolbar Key Deleted : HKLM\SOFTWARE\Software Key Deleted : HKLM\SOFTWARE\Wajam ***** [Registre - GUID] ***** Key Deleted : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634} Key Deleted : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{457EF9F0-0A7C-4302-B47B-C207A8DE8598} Key Deleted : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D} Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1AA251B0-F6F1-402F-AA9D-8038D60CC893} Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F842528F-E054-49AC-BD24-8FA4F43DF24E} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{457EF9F0-0A7C-4302-B47B-C207A8DE8598} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{457EF9F0-0A7C-4302-B47B-C207A8DE8598} Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}] Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}] Value Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}] Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{0027DA2D-C9F2-4B0B-AE05-E2CD1BDB6CFF}] ***** [Internet Browsers] ***** -\\ Internet Explorer v9.0.8112.16421 [OK] Registry is clean. ************************* AdwCleaner[R1].txt - [4411 octets] - [19/08/2012 20:59:13] AdwCleaner[S1].txt - [4466 octets] - [20/08/2012 23:15:34] ########## EOF - C:\AdwCleaner[S1].txt - [4594 octets] ########## |
Themen zu U-Cash-Trojaner startet bei Browserstart und legt Vista lahm |
adware, antivirus, avira, bildschirm, bundesamt für sicherheit, computer, desktop, euro, explorer, fehlermeldung, google, gvu bundespolizei, herunterfahren, infizierte, install.exe, internet explorer, ip-adresse, kein netzwerk, lan-kabel, logfile, malware, netzwerk, neustart., prozess, pup.bundleinstaller.vg, recover, recycle.bin, rojaner gefunden, rundll, scan, software, starten, system neu, ucash 100 euro, viren, vista, warnung |