|
Plagegeister aller Art und deren Bekämpfung: Multibler Befall durch TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.09.2012, 11:58 | #1 |
| Multibler Befall durch Trojaner Hallo Trojaner-Board, bei einer Aufräumaktion auf dem Nachbarrechner habe ich einen ganzen Wurf an Malware gefunden, vor allem Trojaner. Hier der Scanbericht von Malwarebytes: Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.27.04 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Ronny :: RONALD-69010F76 [Administrator] Schutz: Aktiviert 27.09.2012 12:34:59 mbam-log-2012-09-27 (12-34-59).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 298435 Laufzeit: 11 Minute(n), 27 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 1 HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 37 C:\WINDOWS\Temp\QUNloYd.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\R6BEuZM.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\rgnygtgcuex.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\rultihehenqkvfejgpzm.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\IMO7wRr.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\dT9cZ93.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\ezeyekhbko.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\feettox23.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\fvJcrgR.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\147gge.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\adfm32.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\alteki.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\anajbio.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\vDgj5og.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\vetua.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\goempthnhvhggp.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\guy12.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\gxzcnownvrku.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\pkvdnoljqd.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\kpC99IR.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\KPlKtGB.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\kptufvtqtdyevqli.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\la12.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\mmyiqrdyjnnxdgqv.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\npkglqqllbg.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\nSOKlq8.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\oimwxnglin.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\otgKDMC.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\ouivgbv.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\bUn6qxH.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart. C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\80000000.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\ncjoqzeradxeufaimuvloshd.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\aumoulkdpjyk.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\mvziazuqyjuxvkb.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\Temp\riqiiqirqntliuwdqfa.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Wie bekomme ich ohne Format c: den Rechner wieder sauber? Danke und Gruß Chrom |
27.09.2012, 12:02 | #2 | |
/// Malware-holic | Multibler Befall durch Trojaner hi
__________________ob das ohne format geht, sehen wir erst nach analyse des pcs combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
malwarebytes: Downloade Dir bitte Malwarebytes
__________________ |
27.09.2012, 12:53 | #3 |
| Multibler Befall durch Trojaner Hier der Combofix-Bericht, danach der Bericht von Malwarebyte nach dem Combofix:
__________________Combofix Logfile: Code:
ATTFilter ComboFix 12-09-26.06 - Ronny 27.09.2012 13:29:49.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2039.968 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Eigene Dateien\Downloads\ComboFix.exe . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\Ela\1234.doc c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07} c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\@ c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\00000001.@ c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\80000000.@ c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\800000cb.@ c:\dokumente und einstellungen\Ronny.RONALD-69010F76\WINDOWS c:\dokumente und einstellungen\Ronny\pdf c:\dokumente und einstellungen\Ronny\pdf\AnmeldeunterlagenBedenkirchen.pdf c:\dokumente und einstellungen\Ronny\pdf\CantemusTelefonliste.pdf c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Damen 2009.pdf c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Damen 2010.pdf c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Herren 2009.pdf c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Herren 2010.pdf c:\dokumente und einstellungen\Ronny\pdf\Einladung-Singwoche-Herbst09.pdf c:\dokumente und einstellungen\Ronny\pdf\Flyer Singwochenende 2010.pdf c:\dokumente und einstellungen\Ronny\pdf\flyer_beedenkirchen_2010.pdf c:\dokumente und einstellungen\Ronny\pdf\Flyer_Singwochenende_2009.pdf c:\dokumente und einstellungen\Ronny\pdf\Honorar-Beleg Herbst 2010.pdf c:\dokumente und einstellungen\Ronny\pdf\Honorar.pdf c:\dokumente und einstellungen\Ronny\pdf\Honorarformular_CV.pdf c:\dokumente und einstellungen\Ronny\pdf\Konradhütte.pdf c:\dokumente und einstellungen\Ronny\pdf\Medinatura.pdf c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief April 2010 JC.pdf c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief November 2009 (Termine 2009-2010).pdf c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief November 2009.pdf c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief_März_2009.pdf c:\dokumente und einstellungen\Ronny\pdf\MorgenandachtOstern10.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\ÜbersGebirg.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\caresse_.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant1.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant2.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant3.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant4.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant5.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant6.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant7.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin1.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin2.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin3.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin4.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin5.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin6.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin7.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin8.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\DaDieZeitVergangenWar.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\Das Leben ist Sieger.jpg c:\dokumente und einstellungen\Ronny\pdf\Partituren\Das schenkt uns Gott.jpg c:\dokumente und einstellungen\Ronny\pdf\Partituren\Daydream Lullaby.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\Dreaming.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\In Memoriam.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\InDiesenDunklenTagen.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\JauchzetGottAlleLande.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\Kyrie, Rheinberger.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\lean_on_.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\LocusIste.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\Money money money KLAV.PDF c:\dokumente und einstellungen\Ronny\pdf\Partituren\one_of_y.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian1.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian2.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian3.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian4.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian5.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian6.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian7.JPG c:\dokumente und einstellungen\Ronny\pdf\Partituren\The moon SS.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\Vertrau_o_Samson_PART_A.pdf c:\dokumente und einstellungen\Ronny\pdf\Partituren\wade_in_.pdf c:\dokumente und einstellungen\Ronny\pdf\Rerservierung.pdf c:\dokumente und einstellungen\Ronny\pdf\SGH_Fanschal.pdf c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Damen.pdf c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Damen_50.pdf c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Herren_40.pdf c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Herren_55.pdf c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07} c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\@ c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\00000001.@ c:\windows\IsUn0407.exe . . ((((((((((((((((((((((( Dateien erstellt von 2012-08-27 bis 2012-09-27 )))))))))))))))))))))))))))))) . . 2012-09-27 10:21 . 2012-09-27 10:21 -------- d-----w- c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Malwarebytes 2012-09-27 10:21 . 2012-09-27 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2012-09-27 10:21 . 2012-09-27 10:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2012-09-27 10:21 . 2012-09-07 15:04 22856 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-09-27 09:29 . 2012-09-19 09:29 31584 ----a-w- c:\windows\system32\TURegOpt.exe 2012-09-27 09:29 . 2012-09-27 09:29 -------- d-----w- c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\TuneUp Software 2012-09-27 09:29 . 2012-09-27 09:30 -------- d-----w- c:\programme\TuneUp Utilities 2013 2012-09-27 09:28 . 2012-09-27 09:29 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software 2012-09-27 09:28 . 2012-09-27 09:28 -------- d-sh--w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} 2012-09-27 09:28 . 2012-09-27 09:28 -------- d--h--w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Common Files 2012-09-27 09:27 . 2012-09-27 09:27 -------- d-----w- c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Avira 2012-09-27 09:22 . 2012-09-24 07:58 36552 ----a-w- c:\windows\system32\drivers\avkmgr.sys 2012-09-27 09:22 . 2012-09-13 08:58 134184 ----a-w- c:\windows\system32\drivers\avipbb.sys 2012-09-27 09:22 . 2012-09-13 08:58 83792 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2012-09-27 09:22 . 2012-09-27 09:22 -------- d-----w- c:\programme\Avira 2012-09-27 09:22 . 2012-09-27 09:22 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira 2012-09-27 08:38 . 2008-02-15 11:21 147456 ----a-w- c:\windows\system32\igfxCoIn_v4926.dll 2012-09-27 08:37 . 2012-09-27 08:37 -------- d-----w- c:\dokumente und einstellungen\RONNY~1~RON 2012-09-27 08:13 . 2012-09-27 08:13 696240 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2012-09-27 08:10 . 2012-09-27 08:10 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2012-09-27 08:09 . 2012-09-27 08:09 73728 ----a-w- c:\windows\system32\javacpl.cpl 2012-09-27 08:09 . 2012-09-27 08:09 477168 ----a-w- c:\windows\system32\npdeployJava1.dll 2012-09-27 08:09 . 2012-09-27 08:09 473072 ----a-w- c:\windows\system32\deployJava1.dll 2012-09-26 15:24 . 2012-09-26 15:24 -------- d-----w- c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Thunderbird 2012-09-26 15:24 . 2012-09-26 15:24 -------- d-----w- c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\Thunderbird 2012-09-26 15:22 . 2012-09-26 15:23 -------- d-----w- c:\programme\Mozilla Thunderbird 2012-09-26 14:59 . 2012-09-26 14:59 -------- d-----w- c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\Mozilla 2012-09-26 14:58 . 2012-09-26 14:58 -------- d-----w- c:\programme\Mozilla Maintenance Service 2012-09-23 10:18 . 2012-09-23 10:18 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-09-27 08:13 . 2011-08-13 21:16 73136 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-09-06 01:26 . 2012-09-26 14:58 266720 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2007-11-22 16858112] "snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392] "FLMOFFICE4DMOUSE"="c:\programme\Browser Mouse\moffice.exe" [2011-08-02 806912] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-09-21 386336] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^FRITZ!DSL Startcenter.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk backup=c:\windows\pss\FRITZ!DSL Startcenter.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^PHOTOfunSTUDIO HD Edition.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\PHOTOfunSTUDIO HD Edition.lnk backup=c:\windows\pss\PHOTOfunSTUDIO HD Edition.lnkCommon Startup . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Scanner Finder.lnk] path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Scanner Finder.lnk backup=c:\windows\pss\Scanner Finder.lnkCommon Startup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2012-07-11 19:00 919008 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2012-07-31 11:20 38872 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service] 2010-10-27 17:17 207424 ----a-w- c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 2006-10-09 10:28 139264 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2007-10-14 20:17 49152 ----a-w- c:\programme\HP\HP Software Update\hpwuSchd2.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] 2007-01-08 21:17 52256 ----a-w- c:\programme\CyberLink\PowerDVD\Language\Language.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask] 2004-08-29 11:52 53248 ----a-w- c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray] 2004-08-29 11:52 131072 ----a-w- c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2006-01-12 15:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nikon Message Center 2] 2010-05-25 17:16 619008 ----a-w- c:\programme\Nikon\Nikon Message Center 2\NkMC2.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-09-08 09:17 421888 ----a-w- c:\programme\QuickTime\QTTask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2007-03-14 20:01 71216 ----a-w- c:\programme\CyberLink\PowerDVD\PDVDServ.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "ServiceLayer"=3 (0x3) "RichVideo"=2 (0x2) "NBService"=3 (0x3) "JavaQuickStarterService"=2 (0x2) "gupdatem"=3 (0x3) "gupdate"=2 (0x2) "AdobeFlashPlayerUpdateSvc"=3 (0x3) "ACDaemon"=2 (0x2) . R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [27.09.2012 11:22 36552] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.09.2012 11:22 84256] R2 avmidentd;AVM FRITZ!Box-Kindersicherung;c:\programme\FRITZ!Box-Kindersicherung\avmident.exe [21.08.2006 18:57 49152] R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [27.09.2012 12:21 399432] R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [27.09.2012 12:21 676936] R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [04.05.2009 13:16 9728] R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe [19.09.2012 11:29 1699168] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [27.09.2012 12:21 22856] R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys [19.09.2012 10:50 10088] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.09.2012 16:58 114144] S4 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [27.09.2012 10:13 250288] S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 17:03 135664] S4 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 17:03 135664] . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - MBAMSWISSARMY *NewlyCreated* - SSMDRV *Deregistered* - MBAMSwissArmy . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Inhalt des "geplante Tasks" Ordners . 2012-09-27 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-27 08:13] . 2012-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 15:03] . 2012-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 15:03] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=d4ee52700000000000000019668191a1 uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.178.1 FF - ProfilePath - c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Mozilla\Firefox\Profiles\llwbx5mv.default\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - . WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file) MSConfigStartUp-AVP - c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe AddRemove-FoxTab Music Converter - c:\programme\FoxTabMusicConverter\Uninstall\Uninstall.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-09-27 13:41 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-789336058-117609710-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:21,92,33,21,b4,5c,cb,c9,b2,84,be,78,ae,0d,b1,79,8e,6e,23,e4,c0,ab,cb, 04,4f,d1,bd,99,f1,f5,f9,c0,2a,15,ad,40,98,cd,51,05,81,b5,bf,c7,05,82,37,bb,\ "??"=hex:d4,ae,dd,c8,91,ca,d0,5f,bc,bb,ec,82,33,f4,a6,5c . [HKEY_USERS\S-1-5-21-789336058-117609710-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:dc,0b,c8,71,7b,47,93,6b,37,4f,d1,cf,19,9c,d8,30,fe,27,06,71,45, cc,96,09,d9,5a,b6,9d,b0,78,d2,05,86,a8,25,dc,c7,a3,3f,d3,aa,f9,86,61,ad,47,\ "rkeysecu"=hex:26,57,9c,b5,5f,6e,4e,f9,c8,d6,6a,e7,77,9f,d0,b0 . Zeit der Fertigstellung: 2012-09-27 13:43:21 ComboFix-quarantined-files.txt 2012-09-27 11:43 . Vor Suchlauf: 13 Verzeichnis(se), 208.172.834.816 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 212.175.220.736 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect . - - End Of File - - 189034A3744D699B6E1C27DE617AAD65 Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.27.04 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Ronny :: RONALD-69010F76 [Administrator] Schutz: Aktiviert 27.09.2012 13:49:07 mbam-log-2012-09-27 (13-49-07).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 282534 Laufzeit: 2 Minute(n), 52 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Scheint alles sauber zu sein.... |
27.09.2012, 18:14 | #4 |
/// Malware-holic | Multibler Befall durch Trojaner hi wenn du onlinebanking machst, rufe die bank an, notfall nummer falls sie zu hatt: 116 116 lasse das onlinebanking wegen zero access rootkit sperren. da man dies nicht 100 %ig sicher los wird: der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
28.09.2012, 22:15 | #5 |
| Multibler Befall durch Trojaner O.K., danke. Ich werde mich da mit meinem Nachbar durcharbeiten - insbesondere, dass er sein Onlinebanking umstellt. Ich habs ihm gerade gesagt... Aber verrmutlich werde ich den Rechner platt machen und ihn für Ubuntu begeistern. Und dazu eine Kurzunterweisung in Internetverhalten. Direkt noch ein paar Tipps für diesen Weg? |
29.09.2012, 18:16 | #6 |
/// Malware-holic | Multibler Befall durch Trojaner hi meinst du nen komplett umstieg auf ubuntu? das geht natürlich auch nur, wenn er keine games etc hatt, man kann aber prinzipiell auch unter windows sehr sicher arbeiten.
__________________ --> Multibler Befall durch Trojaner |