Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Multibler Befall durch Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.09.2012, 11:58   #1
Chrom
 
Multibler Befall durch Trojaner - Standard

Multibler Befall durch Trojaner



Hallo Trojaner-Board,

bei einer Aufräumaktion auf dem Nachbarrechner habe ich einen ganzen Wurf an Malware gefunden, vor allem Trojaner. Hier der Scanbericht von Malwarebytes:

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.27.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Ronny :: RONALD-69010F76 [Administrator]

Schutz: Aktiviert

27.09.2012 12:34:59
mbam-log-2012-09-27 (12-34-59).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 298435
Laufzeit: 11 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 37
C:\WINDOWS\Temp\QUNloYd.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\R6BEuZM.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\rgnygtgcuex.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\rultihehenqkvfejgpzm.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\IMO7wRr.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\dT9cZ93.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\ezeyekhbko.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\feettox23.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\fvJcrgR.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\147gge.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\adfm32.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\alteki.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\anajbio.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\vDgj5og.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\vetua.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\goempthnhvhggp.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\guy12.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\gxzcnownvrku.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\pkvdnoljqd.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\kpC99IR.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\KPlKtGB.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\kptufvtqtdyevqli.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\la12.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\mmyiqrdyjnnxdgqv.exe (Trojan.Cridex) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\npkglqqllbg.exe (Trojan.Agent.3D) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\nSOKlq8.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\oimwxnglin.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\otgKDMC.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\ouivgbv.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\bUn6qxH.exe (Trojan.Reza) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\80000000.@ (Trojan.Small) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\ncjoqzeradxeufaimuvloshd.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\aumoulkdpjyk.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\mvziazuqyjuxvkb.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Temp\riqiiqirqntliuwdqfa.exe (Trojan.ExploitDrop) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Wie bekomme ich ohne Format c: den Rechner wieder sauber?

Danke und Gruß

Chrom

Alt 27.09.2012, 12:02   #2
markusg
/// Malware-holic
 
Multibler Befall durch Trojaner - Standard

Multibler Befall durch Trojaner



hi
ob das ohne format geht, sehen wir erst nach analyse des pcs



combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.




malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________

__________________

Alt 27.09.2012, 12:53   #3
Chrom
 
Multibler Befall durch Trojaner - Standard

Multibler Befall durch Trojaner



Hier der Combofix-Bericht, danach der Bericht von Malwarebyte nach dem Combofix:

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-09-26.06 - Ronny 27.09.2012  13:29:49.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.968 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Eigene Dateien\Downloads\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Ela\1234.doc
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\n
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\00000001.@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\80000000.@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\800000cb.@
c:\dokumente und einstellungen\Ronny.RONALD-69010F76\WINDOWS
c:\dokumente und einstellungen\Ronny\pdf
c:\dokumente und einstellungen\Ronny\pdf\AnmeldeunterlagenBedenkirchen.pdf
c:\dokumente und einstellungen\Ronny\pdf\CantemusTelefonliste.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Damen 2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Damen 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Herren 2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\E-Chor Adressen Herren 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\Einladung-Singwoche-Herbst09.pdf
c:\dokumente und einstellungen\Ronny\pdf\Flyer Singwochenende 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\flyer_beedenkirchen_2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\Flyer_Singwochenende_2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\Honorar-Beleg Herbst 2010.pdf
c:\dokumente und einstellungen\Ronny\pdf\Honorar.pdf
c:\dokumente und einstellungen\Ronny\pdf\Honorarformular_CV.pdf
c:\dokumente und einstellungen\Ronny\pdf\Konradhütte.pdf
c:\dokumente und einstellungen\Ronny\pdf\Medinatura.pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief April 2010 JC.pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief November 2009 (Termine 2009-2010).pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief November 2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\Mitgliederbrief_März_2009.pdf
c:\dokumente und einstellungen\Ronny\pdf\MorgenandachtOstern10.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\ÜbersGebirg.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\caresse_.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant1.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant2.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant3.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant4.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant5.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant6.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Cerfvolant7.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin1.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin2.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin3.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin4.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin5.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin6.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin7.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Chemin8.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\DaDieZeitVergangenWar.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Das Leben ist Sieger.jpg
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Das schenkt uns Gott.jpg
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Daydream Lullaby.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Dreaming.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\In Memoriam.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\InDiesenDunklenTagen.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\JauchzetGottAlleLande.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Kyrie, Rheinberger.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\lean_on_.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\LocusIste.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Money money money KLAV.PDF
c:\dokumente und einstellungen\Ronny\pdf\Partituren\one_of_y.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian1.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian2.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian3.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian4.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian5.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian6.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Rian7.JPG
c:\dokumente und einstellungen\Ronny\pdf\Partituren\The moon SS.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\Vertrau_o_Samson_PART_A.pdf
c:\dokumente und einstellungen\Ronny\pdf\Partituren\wade_in_.pdf
c:\dokumente und einstellungen\Ronny\pdf\Rerservierung.pdf
c:\dokumente und einstellungen\Ronny\pdf\SGH_Fanschal.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Damen.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Damen_50.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Herren_40.pdf
c:\dokumente und einstellungen\Ronny\pdf\Spielplan_Herren_55.pdf
c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}
c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\@
c:\windows\Installer\{cc289b4e-92ea-b507-9f48-106a0d306f07}\U\00000001.@
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-08-27 bis 2012-09-27  ))))))))))))))))))))))))))))))
.
.
2012-09-27 10:21 . 2012-09-27 10:21	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Malwarebytes
2012-09-27 10:21 . 2012-09-27 10:21	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2012-09-27 10:21 . 2012-09-27 10:21	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-09-27 10:21 . 2012-09-07 15:04	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-27 09:29 . 2012-09-19 09:29	31584	----a-w-	c:\windows\system32\TURegOpt.exe
2012-09-27 09:29 . 2012-09-27 09:29	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\TuneUp Software
2012-09-27 09:29 . 2012-09-27 09:30	--------	d-----w-	c:\programme\TuneUp Utilities 2013
2012-09-27 09:28 . 2012-09-27 09:29	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2012-09-27 09:28 . 2012-09-27 09:28	--------	d-sh--w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
2012-09-27 09:28 . 2012-09-27 09:28	--------	d--h--w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Common Files
2012-09-27 09:27 . 2012-09-27 09:27	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Avira
2012-09-27 09:22 . 2012-09-24 07:58	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-09-27 09:22 . 2012-09-13 08:58	134184	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-09-27 09:22 . 2012-09-13 08:58	83792	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-09-27 09:22 . 2012-09-27 09:22	--------	d-----w-	c:\programme\Avira
2012-09-27 09:22 . 2012-09-27 09:22	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2012-09-27 08:38 . 2008-02-15 11:21	147456	----a-w-	c:\windows\system32\igfxCoIn_v4926.dll
2012-09-27 08:37 . 2012-09-27 08:37	--------	d-----w-	c:\dokumente und einstellungen\RONNY~1~RON
2012-09-27 08:13 . 2012-09-27 08:13	696240	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-09-27 08:10 . 2012-09-27 08:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2012-09-27 08:09 . 2012-09-27 08:09	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-09-27 08:09 . 2012-09-27 08:09	477168	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-09-27 08:09 . 2012-09-27 08:09	473072	----a-w-	c:\windows\system32\deployJava1.dll
2012-09-26 15:24 . 2012-09-26 15:24	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Thunderbird
2012-09-26 15:24 . 2012-09-26 15:24	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2012-09-26 15:22 . 2012-09-26 15:23	--------	d-----w-	c:\programme\Mozilla Thunderbird
2012-09-26 14:59 . 2012-09-26 14:59	--------	d-----w-	c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Lokale Einstellungen\Anwendungsdaten\Mozilla
2012-09-26 14:58 . 2012-09-26 14:58	--------	d-----w-	c:\programme\Mozilla Maintenance Service
2012-09-23 10:18 . 2012-09-23 10:18	--------	d-sh--w-	c:\windows\system32\config\systemprofile\PrivacIE
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-27 08:13 . 2011-08-13 21:16	73136	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-06 01:26 . 2012-09-26 14:58	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-22 16858112]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"FLMOFFICE4DMOUSE"="c:\programme\Browser Mouse\moffice.exe" [2011-08-02 806912]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-09-21 386336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^FRITZ!DSL Startcenter.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk
backup=c:\windows\pss\FRITZ!DSL Startcenter.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^PHOTOfunSTUDIO HD Edition.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\PHOTOfunSTUDIO HD Edition.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO HD Edition.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Scanner Finder.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Scanner Finder.lnk
backup=c:\windows\pss\Scanner Finder.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-11 19:00	919008	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-07-31 11:20	38872	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2010-10-27 17:17	207424	----a-w-	c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-10-09 10:28	139264	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-10-14 20:17	49152	----a-w-	c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-01-08 21:17	52256	----a-w-	c:\programme\CyberLink\PowerDVD\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
2004-08-29 11:52	53248	----a-w-	c:\programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
2004-08-29 11:52	131072	----a-w-	c:\programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40	155648	----a-w-	c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nikon Message Center 2]
2010-05-25 17:16	619008	----a-w-	c:\programme\Nikon\Nikon Message Center 2\NkMC2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17	421888	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-03-14 20:01	71216	----a-w-	c:\programme\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ServiceLayer"=3 (0x3)
"RichVideo"=2 (0x2)
"NBService"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"gupdatem"=3 (0x3)
"gupdate"=2 (0x2)
"AdobeFlashPlayerUpdateSvc"=3 (0x3)
"ACDaemon"=2 (0x2)
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [27.09.2012 11:22 36552]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.09.2012 11:22 84256]
R2 avmidentd;AVM FRITZ!Box-Kindersicherung;c:\programme\FRITZ!Box-Kindersicherung\avmident.exe [21.08.2006 18:57 49152]
R2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [27.09.2012 12:21 399432]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [27.09.2012 12:21 676936]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [04.05.2009 13:16 9728]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe [19.09.2012 11:29 1699168]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [27.09.2012 12:21 22856]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys [19.09.2012 10:50 10088]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [26.09.2012 16:58 114144]
S4 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [27.09.2012 10:13 250288]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 17:03 135664]
S4 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 17:03 135664]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMSWISSARMY
*NewlyCreated* - SSMDRV
*Deregistered* - MBAMSwissArmy
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-27 08:13]
.
2012-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 15:03]
.
2012-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=d4ee52700000000000000019668191a1
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Ronny.RONALD-69010F76\Anwendungsdaten\Mozilla\Firefox\Profiles\llwbx5mv.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
MSConfigStartUp-AVP - c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
AddRemove-FoxTab Music Converter - c:\programme\FoxTabMusicConverter\Uninstall\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-27 13:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-789336058-117609710-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:21,92,33,21,b4,5c,cb,c9,b2,84,be,78,ae,0d,b1,79,8e,6e,23,e4,c0,ab,cb,
   04,4f,d1,bd,99,f1,f5,f9,c0,2a,15,ad,40,98,cd,51,05,81,b5,bf,c7,05,82,37,bb,\
"??"=hex:d4,ae,dd,c8,91,ca,d0,5f,bc,bb,ec,82,33,f4,a6,5c
.
[HKEY_USERS\S-1-5-21-789336058-117609710-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:dc,0b,c8,71,7b,47,93,6b,37,4f,d1,cf,19,9c,d8,30,fe,27,06,71,45,
   cc,96,09,d9,5a,b6,9d,b0,78,d2,05,86,a8,25,dc,c7,a3,3f,d3,aa,f9,86,61,ad,47,\
"rkeysecu"=hex:26,57,9c,b5,5f,6e,4e,f9,c8,d6,6a,e7,77,9f,d0,b0
.
Zeit der Fertigstellung: 2012-09-27  13:43:21
ComboFix-quarantined-files.txt  2012-09-27 11:43
.
Vor Suchlauf: 13 Verzeichnis(se), 208.172.834.816 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 212.175.220.736 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 189034A3744D699B6E1C27DE617AAD65
         
--- --- ---




Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.27.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Ronny :: RONALD-69010F76 [Administrator]

Schutz: Aktiviert

27.09.2012 13:49:07
mbam-log-2012-09-27 (13-49-07).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 282534
Laufzeit: 2 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Scheint alles sauber zu sein....
__________________

Alt 27.09.2012, 18:14   #4
markusg
/// Malware-holic
 
Multibler Befall durch Trojaner - Standard

Multibler Befall durch Trojaner



hi
wenn du onlinebanking machst, rufe die bank an, notfall nummer falls sie zu hatt:
116 116
lasse das onlinebanking wegen zero access rootkit sperren.
da man dies nicht 100 %ig sicher los wird:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 28.09.2012, 22:15   #5
Chrom
 
Multibler Befall durch Trojaner - Standard

Multibler Befall durch Trojaner



O.K., danke.

Ich werde mich da mit meinem Nachbar durcharbeiten - insbesondere, dass er sein Onlinebanking umstellt. Ich habs ihm gerade gesagt...
Aber verrmutlich werde ich den Rechner platt machen und ihn für Ubuntu begeistern. Und dazu eine Kurzunterweisung in Internetverhalten.

Direkt noch ein paar Tipps für diesen Weg?


Alt 29.09.2012, 18:16   #6
markusg
/// Malware-holic
 
Multibler Befall durch Trojaner - Standard

Multibler Befall durch Trojaner



hi
meinst du nen komplett umstieg auf ubuntu? das geht natürlich auch nur, wenn er keine games etc hatt, man kann aber prinzipiell auch unter windows sehr sicher arbeiten.
__________________
--> Multibler Befall durch Trojaner

Antwort

Themen zu Multibler Befall durch Trojaner
administrator, anti-malware, löschen, malware gefunden, malwarebytes, quarantäne, rootkit.0access, service, service pack 3, trojan.agent.3d, trojan.cridex, trojan.downloader, trojan.dropper.pe4, trojan.exploitdrop, trojan.inject, trojan.phex.thagen6, trojan.phex.thagen9, trojan.ransom, trojan.reza, trojan.small, trojan.winlock, trojan.zaccess, trojan.zbot, trojaner, trojaner-board




Ähnliche Themen: Multibler Befall durch Trojaner


  1. nach Befall durch BKA Virus Entfernung durch Fachhandel Jetzt startet Windows sicherheitsdienst nicht mehr
    Log-Analyse und Auswertung - 05.06.2014 (14)
  2. PC-Befall durch SoftwareUpdater.Ui.exe
    Log-Analyse und Auswertung - 04.10.2013 (9)
  3. Befall durch TR/Boigy.J und TR/Bublik.I.12
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (3)
  4. Trojaner-Befall durch Bundespolizeitrojaner 1.13
    Log-Analyse und Auswertung - 03.12.2012 (3)
  5. GVU-Trojaner Befall, 4 Funde durch MBM
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (18)
  6. Trojaner Befall durch win32/ransom.ej
    Log-Analyse und Auswertung - 14.02.2012 (1)
  7. Trojaner-Befall durch Trojan:Win64/Sirefef.k .d .e
    Log-Analyse und Auswertung - 03.01.2012 (1)
  8. Nach Befall durch Gema - UKash Trojaner PC wie tot!
    Plagegeister aller Art und deren Bekämpfung - 21.11.2011 (11)
  9. Systembereinigung nach Befall durch Trojaner Windows Vista Repair
    Log-Analyse und Auswertung - 25.07.2011 (26)
  10. Logfileauswertung nach Befall durch BKA Trojaner.
    Log-Analyse und Auswertung - 01.07.2011 (4)
  11. Befall durch Trojan-BNK.Win32.Keylogger.gen / Was tun?
    Log-Analyse und Auswertung - 24.05.2011 (14)
  12. Diverser Befall durch Adware/Trojaner (?) Unter anderem 'TR/Spy.ZBot.aghs'
    Plagegeister aller Art und deren Bekämpfung - 20.03.2010 (1)
  13. Befall durch TR/Meredrop.A.4984
    Plagegeister aller Art und deren Bekämpfung - 29.01.2010 (1)
  14. Befall durch TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 01.04.2009 (8)
  15. Befall durch TR/Hijack.AE
    Plagegeister aller Art und deren Bekämpfung - 28.11.2008 (12)
  16. Befall durch Trojaner, was tun?
    Log-Analyse und Auswertung - 08.08.2008 (5)
  17. Befall durch Rootkit oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 20.11.2006 (17)

Zum Thema Multibler Befall durch Trojaner - Hallo Trojaner-Board, bei einer Aufräumaktion auf dem Nachbarrechner habe ich einen ganzen Wurf an Malware gefunden, vor allem Trojaner. Hier der Scanbericht von Malwarebytes: Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank - Multibler Befall durch Trojaner...
Archiv
Du betrachtest: Multibler Befall durch Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.