| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: selbst öffnende .exe Dateien wie z.B. E7AA.exe oder DE8C.exe etc......Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.09.2012, 18:30
| #1 |
 |  selbst öffnende .exe Dateien wie z.B. E7AA.exe oder DE8C.exe etc...... Hallo Leute, Ich habe nun seit längerer Zeit kleinere .exe Dateien auf meinem Laptop (Windows 7 Home Premium). Die Dateien sind nicht sehr groß. Lediglich rund 350 KB. Sie befinden sich im Ordner Roaming. In der Suchleiste bei Windows einfach "%appdata%" eingeben. Die Minecraft-Spieler kennen den Ordner. Es ist der Ordner in in den man den .minecraft Ordner platzieren muss. Und genau darin befinden sich die Dateien. Sie erstellen sich auch immer neu.  Ich habe schon mehrmals versucht sie einfach zu löschen, aber es funktioniert nicht. Sie werden einfach wieder erstellt. Und es sind auch nicht immer dieselben Dateinamen. Und sie öffnen sich auch automatisch; Im Taskmanager unter Prozesse werden IMMER 2 identische Viren geöffnet. Egal welchen Namen sie haben, es sind immer 2 gleiche. Ich poste mal ein Screenshot hier rein, wie das bei mir aussieht:Also erstmal der Roaming Ordner wo sich die Dateien befinden: Und hier ist der/ sind die Prozesse im Task Manager: Ich habe keiner Ahnung wo diese Teile herkommen. Durch irgendeinen Download höchstwahrscheinlich. Der Virus bremst auch erheblich die Systemleistung aus. Wenn mir jemand helfen kann, wäre ich sehr dankbar  Gruß, Janis |
|
02.10.2012, 07:14
| #2 |
| /// the machine /// TB-Ausbilder    | selbst öffnende .exe Dateien wie z.B. E7AA.exe oder DE8C.exe etc...... Hi,
__________________Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
%windir%\installer\*. /5
%localappdata%\*. /5
CREATERESTOREPOINT
__________________ |
|
02.10.2012, 18:59
| #3 |
| | selbst öffnende .exe Dateien wie z.B. E7AA.exe oder DE8C.exe etc...... Danke erstmal, schrauber...
__________________Ich habe den Scan gestartet, jedoch hängt sich das Programm immer auf wenn folgendes gescannt wird: "Scanning HKEY_CURRENT_USER Run Keys..." Muss ich einfach nur lange warten? Ich hatte nämlich ca. 15 Minuten gewartet, doch es hat sich nichts getan....  |
|
02.10.2012, 19:00
| #4 |
| /// the machine /// TB-Ausbilder | selbst öffnende .exe Dateien wie z.B. E7AA.exe oder DE8C.exe etc...... Dann versuchen wir was andres. Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
02.10.2012, 21:20
| #5 |
| | selbst öffnende .exe Dateien wie z.B. E7AA.exe oder DE8C.exe etc...... Danke, hat geklappt. Also hier ist das Attach file: . UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT .DDS Logfile: Code:
ATTFilter DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Home Premium
Boot Device: \Device\HarddiskVolume2
Install Date: 06.03.2012 13:03:52
System Uptime: 02.10.2012 11:47:51 (11 hours ago)
.
Motherboard: Acer | | Aspire one
Processor: Intel(R) Atom(TM) CPU N270 @ 1.60GHz | CPU | 800/533mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 114 GiB total, 18,399 GiB free.
.
==== Disabled Device Manager Items =============
.
Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: AVG AVI Loader Driver
Device ID: ROOT\LEGACY_AVGLDX86\0000
Manufacturer:
Name: AVG AVI Loader Driver
PNP Device ID: ROOT\LEGACY_AVGLDX86\0000
Service: Avgldx86
.
Class GUID: {36fc9e60-c465-11cf-8056-444553540000}
Description: Unknown Device
Device ID: USB\VID_0000&PID_0000\5&36089DE0&0&2
Manufacturer: (Standard-USB-Hostcontroller)
Name: Unknown Device
PNP Device ID: USB\VID_0000&PID_0000\5&36089DE0&0&2
Service:
.
==== System Restore Points ===================
.
No restore point in system.
.
==== Installed Programs ======================
.
Adobe AIR
Adobe Download Assistant
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Help Manager
Adobe Illustrator CS6
Adobe Photoshop CS6
Adobe Reader X (10.1.3) - Deutsch
Adobe Shockwave Player
Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver
µTorrent
Audacity 1.2.6
AVG 2012
AVS Update Manager 1.0
AVS Video Converter 8
Broadcom Wireless Utility
Camtasia Studio 7
Canon IJ Network Scan Utility
Canon IJ Network Tool
Canon MP640 series MP Drivers
CDBurnerXP
Cheat Engine 6.1
CINEMA 4D 11.514
Cisco EAP-FAST Module
Cisco LEAP Module
Cisco PEAP Module
DarkLoader v4.1
Dev-C++ 5 beta 9 release (4.9.9.2)
Driver Genius Professional Edition
eReg
Führerschein-Trainer 2007
Fraps (remove only)
GadgetBox
GBox
GermaniXEncoder
Google Chrome
Google Earth
Google Update Helper
Hama Wireless LAN Adapter
Hex-Editor MX
Iminent
Intel(R) Graphics Media Accelerator Driver
InterActual Player
IsoBuster 2.8.5
Java 7 Update 7
Java Auto Updater
JavaFX 2.1.1
JDiskReport 1.4.0
LAME v3.99.3 (for Windows)
Logitech SetPoint 6.32
Media Player Codec Pack 4.1.9
Microsoft .NET Framework 4.5 DEU Language Pack RC
Microsoft .NET Framework 4.5 RC
Microsoft Office Access MUI (German) 2010
Microsoft Office Excel MUI (German) 2010
Microsoft Office Groove MUI (German) 2010
Microsoft Office InfoPath MUI (German) 2010
Microsoft Office OneNote MUI (German) 2010
Microsoft Office Outlook MUI (German) 2010
Microsoft Office PowerPoint MUI (German) 2010
Microsoft Office Professional Plus 2010
Microsoft Office Proof (English) 2010
Microsoft Office Proof (French) 2010
Microsoft Office Proof (German) 2010
Microsoft Office Proof (Italian) 2010
Microsoft Office Proofing (German) 2010
Microsoft Office Publisher MUI (German) 2010
Microsoft Office Shared MUI (German) 2010
Microsoft Office Word MUI (German) 2010
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable - KB2467175
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Microsoft_VC80_CRT_x86
Microsoft_VC90_CRT_x86
Minecraft Version Changer
mIRC
Mozilla Firefox 13.0.1 (x86 de)
MP3 Skype Recorder
MSVCRT Redists
Orbit Downloader
PDF Settings CS6
Pflanzen gegen Zombies
Realtek High Definition Audio Driver
Skype™ 5.10
SopCast 3.5.0
sprotector 1.62
Stream Player
swMSM
TeamSpeak 3 Client
Tunatic
Vegas Pro 10.0
VLC media player 1.1.11
WebCam
WinRAR 4.11 (32-Bit)
Xilisoft HD Video Converter 6
.
==== End Of File ===========================
Und hier ist das DDS file:
[TABLE].
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 10.7.2
Run by Janis at 22:00:20 on 2012-10-02
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1033.18.1014.224 [GMT 2:00]
.
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Program Files\Broadcom\Broadcom 802.11 Network Adapter\WLTRYSVC.EXE
C:\Windows\system32\WLANExt.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Broadcom\Broadcom 802.11 Network Adapter\bcmwltry.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\Hama\Common\RaRegistry.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conhost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Program Files\Logitech\SetPointP\SetPoint.exe
C:\Windows\WebCam\S6000\S6000Mnt.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Broadcom\Broadcom 802.11 Network Adapter\WLTRAY.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k secsvcs
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
C:\Windows\system32\taskeng.exe
C:\ProgramData\Premium\GBox\GBox.exe
C:\Windows\System32\taskmgr.exe
C:\Users\Janis\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Janis\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Janis\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Janis\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Janis\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Janis\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Janis\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Janis\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Orbitdownloader\orbitnet.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Program Files\Orbitdownloader\orbitdm.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = https://isearch.avg.com/?cid={123DB6E3-65D0-4739-BE8A-6F30961BFD49}&mid=796bcf77900347d08b28d16a1c858f15-4dda9021002b6c4077fe60294b0ad61d9441fe9a&lang=en&ds=yu012&pr=sa&d=2012-08-14 15:54:10&v=12.1.0.20&sap=hp
uURLSearchHooks: H - No File
mWinlogon: Userinit=c:\windows\system32\userinit.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\cinema 4d\documents\msdcsc\msdcsc.exe,c:\users\cinema 4d\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe,c:\users\janis\documents\msdcsc\msdcsc.exe
BHO: Octh Class: {000123b4-9b42-4900-b3f7-f4b073efc214} - c:\program files\orbitdownloader\orbitcth.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg2012\avgssie.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\progra~2\micros~2\office14\GROOVEEX.DLL
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre7\bin\ssv.dll
BHO: {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No File
BHO: IMinent WebBooster (BHO): {a09ab6eb-31b5-454c-97ec-9b294d92ee2a} - c:\program files\iminent\Iminent.WebBooster.InternetExplorer.dll
BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - c:\progra~2\micros~2\office14\URLREDIR.DLL
BHO: Help the General-Search Project: {ca4520f3-ae13-4fb1-a513-58e23991c86d} - c:\users\janis\appdata\roaming\mediaf~1\extens~1\GENCRA~1.DLL
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre7\bin\jp2ssv.dll
TB: Grab Pro: {c55bbcd6-41ad-48ad-9953-3609c48eacc7} - c:\program files\orbitdownloader\GrabPro.dll
uRun: [ViStart] c:\program files\vistart\ViStart.exe
uRun: [85d7b90b3f039ec268747896125a906f]
uRun: [Microsoft DLL Registration] c:\users\janis\appdata\roaming\regsrv32.exe
uRun: [MicroUpdate] c:\users\janis\documents\msdcsc\msdcsc.exe
uRun: [Fztitn] c:\users\janis\appdata\roaming\Fztitn.exe
uRun: [AdobeBridge]
uRun: [Google Update] "c:\users\janis\appdata\local\google\update\GoogleUpdate.exe" /c
uRun: [MP3 Skype Recorder] c:\program files\mp3 skype recorder\MP3 Skype Recorder.exe
uRun: [WINSXS32] c:\users\janis\appdata\roaming\A86B.exe
mRun: [Driver Genius]
mRun: [IJNetworkScanUtility] c:\program files\canon\canon ij network scan utility\CNMNSUT.exe
mRun: [S6000Mnt] Rundll32.exe S6000Rmv.dll ,WinMainRmv /StartStillMnt
mRun: [WINSXS32] c:\users\janis\appdata\roaming\DA66.exe
mRun: [RTHDVCPL] c:\program files\realtek\audio\hda\RtHDVCpl.exe -s
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [EvtMgr6] c:\program files\logitech\setpointp\SetPoint.exe /launchGaming
mRun: [Broadcom Wireless Manager UI] c:\program files\broadcom\broadcom 802.11 network adapter\WLTRAY.exe
mRun: [TaskTray]
mRun: [Iminent] c:\program files\iminent\Iminent.exe /warmup "F77F87E5-A6BD-4922-A530-EDF63D7E9F8C"
mRun: [IminentMessenger] c:\program files\iminent\Iminent.Messengers.exe /startup
mRun: [AdobeAAMUpdater-1.0] "c:\program files\common files\adobe\oobe\pdapp\uwa\UpdaterStartupUtility.exe"
mRun: [SwitchBoard] c:\program files\common files\adobe\switchboard\SwitchBoard.exe
mRun: [AdobeCS6ServiceManager] "c:\program files\common files\adobe\cs6servicemanager\CS6ServiceManager.exe" -launchedbylogin
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [ROC_ROC_JULY_P1] "c:\program files\avg secure search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1
mRun: [Skype Recorder] "c:\program files\skype recorder\Skype Recorder.exe"
StartupFolder: c:\users\janis\appdata\roaming\microsoft\windows\start menu\programs\startup\explorer.exe
StartupFolder: c:\progra~3\micros~1\windows\startm~1\programs\startup\hamawi~1.lnk - c:\program files\hama\common\RaUI.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: PromptOnSecureDesktop = 0 (0x0)
IE: &Download by Orbit - c:\program files\orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\orbitdownloader\orbitmxt.dll/204
IE: An OneNote s&enden - c:\progra~2\micros~2\office14\ONBttnIE.dll/105
IE: Do&wnload selected by Orbit - c:\program files\orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\orbitdownloader\orbitmxt.dll/202
IE: Download with &Media Finder - c:\program files\media finder\hook.html
IE: Nach Microsoft E&xcel exportieren - c:\progra~2\micros~2\office14\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\program files\microsoft office\office14\ONBttnIE.dll
IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - c:\program files\microsoft office\office14\ONBttnIELinkedNotes.dll
TCP: DhcpNameServer = 82.212.62.62 192.168.0.1
TCP: Interfaces\{06FECF99-3B43-4B79-86CF-19CD04F12C59} : DhcpNameServer = 82.212.62.62 192.168.0.1
TCP: Interfaces\{0D919A74-7B99-489D-A36B-D638B135663D} : DhcpNameServer = 82.212.62.62 192.168.0.1
TCP: Interfaces\{AE28F08E-E615-46C3-9091-3A3AF9BF2C0A} : DhcpNameServer = 82.212.62.62 192.168.0.1
TCP: Interfaces\{AE28F08E-E615-46C3-9091-3A3AF9BF2C0A}\2475D2E45647A7775627B6 : DhcpNameServer = 82.212.62.62 78.42.43.62
TCP: Interfaces\{AE28F08E-E615-46C3-9091-3A3AF9BF2C0A}\75C414E4D2145413935393 : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{AECCD3BF-6684-4A29-98B1-59BDF8643224} : DhcpNameServer = 82.212.62.62 192.168.0.1
TCP: Interfaces\{B94362DE-0FA9-41E4-9AFE-BCAFFD87BFEB}\4456661657C647 : DhcpNameServer = 82.212.62.62 192.168.0.1
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\common files\microsoft shared\office14\MSOXMLMF.DLL
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} -
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\program files\mp3 skype recorder\Skype4COM.dll
Notify: igfxcui - igfxdev.dll
Notify: LBTWlgn - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll
AppInit_DLLs: c:\progra~2\sprote~1\sprote~1.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\progra~2\micros~2\office14\GROOVEEX.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\janis\appdata\roaming\mozilla\firefox\profiles\bw776v5k.default\
FF - prefs.js: browser.startup.homepage - hxxp://search.iminent.com/?appId=f4539de6-f4fd-40fe-9b84-0c6e9e69524c&lcid=1031&ref=homepage
FF - prefs.js: keyword.URL - hxxps://isearch.avg.com/search?cid={123DB6E3-65D0-4739-BE8A-6F30961BFD49}&mid=796bcf77900347d08b28d16a1c858f15-4dda9021002b6c4077fe60294b0ad61d9441fe9a&lang=en&ds=yu012&pr=sa&d=2012-08-14 15:54:10&v=12.2.5.32&sap=ku&q=
FF - plugin: c:\progra~2\micros~2\office14\NPAUTHZ.DLL
FF - plugin: c:\progra~2\micros~2\office14\NPSPWRAP.DLL
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.115\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.123\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre7\bin\plugin2\npjp2.dll
FF - plugin: c:\program files\microsoft silverlight\5.1.10411.0\npctrlui.dll
FF - plugin: c:\users\janis\appdata\local\google\update\1.3.21.123\npGoogleUpdate3.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_4_402_278.dll
FF - plugin: c:\windows\system32\npdeployJava1.dll
FF - plugin: c:\windows\system32\npmproxy.dll
.
---- FIREFOX POLICIES ----
.
user_pref('extensions.dealply.partner', 'vita');
.
user_pref('extensions.dealply.channel', 'vitaeazel');
.
user_pref('extensions.dealply.installId', 'v23500236973251394706402012061719195630');
.
user_pref('extensions.dealply.installIdSource', 'inst');
.
user_pref('extensions.dealply.sampleGroup', '0');
.
user_pref('extensions.dealply.partner', 'vita');
.
user_pref('extensions.dealply.channel', 'vitaeazel');
.
user_pref('extensions.dealply.installId', 'v23500236973251394706402012061719195630');
.
user_pref('extensions.dealply.installIdSource', 'inst');
.
user_pref('extensions.dealply.sampleGroup', '0');
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=112555&tt=060612_5_
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.id - 70fd172f00000000000000235a6166e6
FF - user.js: extensions.BabylonToolbar_i.hardId - 70fd172f00000000000000235a6166e6
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15511
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1720:56:43
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst
.
============= SERVICES / DRIVERS ===============
.
R0 AVGIDSHX;AVGIDSHX;c:\windows\system32\drivers\avgidshx.sys [2012-4-19 24896]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [2012-1-31 31952]
R1 Avgmfx86;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\drivers\avgmfx86.sys [2011-12-23 41040]
R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [2012-3-19 301248]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928]
R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\avgidsdriverx.sys [2011-12-23 139856]
R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\avgidsfilterx.sys [2011-12-23 24144]
R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\avgidsshimx.sys [2011-12-23 17232]
S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [2012-2-22 235216]
S2 AVGIDSAgent;AVGIDSAgent;"c:\program files\avg\avg2012\avgidsagent.exe" --> c:\program files\avg\avg2012\avgidsagent.exe [?]
S2 avgwd;AVG WatchDog;"c:\program files\avg\avg2012\avgwdsvc.exe" --> c:\program files\avg\avg2012\avgwdsvc.exe [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2012-4-30 104872]
S2 gupdate;Google Update-Dienst (gupdate);c:\program files\google\update\GoogleUpdate.exe [2012-4-17 116648]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-4-12 250288]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2012-4-17 116648]
S3 netr73;RT73 USB Extensible Wireless LAN Card Driver;c:\windows\system32\drivers\netr73.sys [2012-9-10 562464]
S3 PortTalk;PortTalk;c:\windows\system32\drivers\porttalk.sys [2012-3-7 3567]
S3 S6000KNT;S6000KNT_WebCam Driver;c:\windows\system32\drivers\S6000KNT.sys [2010-8-5 167576]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [2010-7-1 34896]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\drivers\vwifimp.sys [2009-7-14 14336]
.
=============== Created Last 30 ================
.
2012-10-02 20:00:35 195072 ----a-w- c:\users\janis\appdata\roaming\Fztitn.exe
2012-10-02 15:33:21 347136 ----a-w- c:\users\janis\appdata\roaming\A86B.exe
2012-10-01 19:29:36 -------- d-----w- c:\programdata\Premium
2012-10-01 19:29:33 -------- d-----w- c:\program files\SProtector
2012-10-01 19:29:24 -------- d-----w- c:\program files\GadgetBox
2012-10-01 19:29:07 -------- d-----w- c:\programdata\InstallMate
2012-09-30 19:24:36 347136 ----a-w- c:\users\janis\appdata\roaming\963D.exe
2012-09-30 17:11:00 -------- d-----w- c:\program files\ps3emu
2012-09-28 17:27:43 369664 ----a-w- c:\users\janis\appdata\roaming\E7AA.exe
2012-09-28 17:19:47 348160 ----a-w- c:\users\janis\appdata\roaming\A3F5.exe
2012-09-28 16:53:39 353280 ----a-w- c:\users\janis\appdata\roaming\B7A3.exe
2012-09-28 16:36:55 353280 ----a-w- c:\users\janis\appdata\roaming\66A5.exe
2012-09-28 16:30:23 353280 ----a-w- c:\users\janis\appdata\roaming\6AD8.exe
2012-09-26 18:31:46 56200 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{6bb8abbd-b80f-46c1-9878-7292ddc844c6}\offreg.dll
2012-09-20 21:00:03 -------- d-----w- c:\windows\Profiles
2012-09-17 15:10:54 -------- d-----w- c:\users\janis\2012-09-16 time 13_15_46 Outgoing Peer-to-Peer Call killakeks97_data
2012-09-14 14:57:29 -------- d-----w- c:\users\janis\flash-disinfector-
2012-09-13 21:11:39 132597 ----a-w- c:\users\janis\flash-disinfector-.exe
2012-09-10 18:23:36 -------- d-----w- c:\programdata\ALM
2012-09-10 18:01:29 -------- d-----w- c:\users\janis\crack il
2012-09-10 16:14:15 -------- d-----w- c:\users\janis\stick musik
2012-09-10 14:48:07 -------- d-----w- c:\programdata\Ralink
2012-09-10 14:45:14 562464 ----a-w- c:\windows\system32\drivers\netr73.sys
2012-09-10 14:45:14 226592 ----a-w- c:\windows\system32\RaCoInst.dll
2012-09-10 14:45:12 -------- d-----w- c:\programdata\RalinkRT7x Driver
2012-09-10 14:43:52 776480 ----a-w- c:\windows\system32\RAIHV.dll
2012-09-10 14:43:52 102688 ----a-w- c:\windows\system32\RAEXTUI.dll
2012-09-10 14:43:50 1590560 ----a-w- c:\windows\system32\RaCertMgr.dll
2012-09-10 14:43:44 -------- d-----w- c:\program files\Hama
2012-09-09 12:12:25 -------- d-----w- c:\program files\Skype Recorder
2012-09-09 12:02:56 153 ----a-w- c:\users\janis\settings.bin
2012-09-07 15:56:23 -------- d-----w- c:\program files\Tunatic
2012-09-06 09:37:57 -------- d-----w- c:\users\janis\appdata\roaming\StageManager.BD092818F67280F4B42B04877600987F0111B594.1
2012-09-05 09:07:55 -------- d-----w- c:\users\janis\appdata\roaming\Iminent
2012-09-05 07:52:20 -------- d-----r- c:\users\janis\sound
2012-09-04 20:34:39 -------- d-----w- c:\program files\VideoLAN
2012-09-04 14:26:58 -------- d-----w- c:\users\janis\savegame cod 4 janis
2012-09-04 08:12:21 93672 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2012-09-04 08:09:09 -------- d-----w- c:\users\janis\PS3
.
==================== Find3M ====================
.
2012-09-21 20:51:36 73136 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-21 20:51:36 696240 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-09-04 08:11:45 821736 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-09-04 08:11:45 746984 ----a-w- c:\windows\system32\deployJava1.dll
2012-08-27 14:31:34 299047 ----a-w- c:\users\janis\Crusader_Multihack_Beta.exe
.
============= FINISH: 22:03:28,72 ===============
--- --- --- --- --- --- --- --- --- Das war's, Gruß, Janis |
|
03.10.2012, 06:23
| #6 | |
| /// the machine /// TB-Ausbilder | selbst öffnende .exe Dateien wie z.B. E7AA.exe oder DE8C.exe etc......Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!Downloade dir bitte Combofix vom folgenden Downloadspiegel Link 1 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ --> selbst öffnende .exe Dateien wie z.B. E7AA.exe oder DE8C.exe etc...... |
Textbox.
Linear-Darstellung
