![]() |
|
Plagegeister aller Art und deren Bekämpfung: BKA-Trojaner 1.13 entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() BKA-Trojaner 1.13 entfernen Hallo, Ich habe mir heute den BKA-Trojaner version 1.13 geholt. Ich nutze einen älteren PC mit Windows XP. Zum Glück komme ich noch über den abgesicherten Modus hier ins Internet. Ich werde jetzt einen Scan mit Malwarebytes machen und ihn dann hier posten. Vielen Dank schon einmal für eure Hilfe MfG |
![]() | #2 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() BKA-Trojaner 1.13 entfernen![]() Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen. Bitte beachte folgende Hinweise:
Ich warte auf die Logdatei von MBAM. Anschließend sehen wir weiter. ![]() |
![]() | #3 |
![]() | ![]() BKA-Trojaner 1.13 entfernen Hallo Matthias,
__________________vielen Dank für deine schnelle Antwort. Hier mein scan: Malwarebytes Anti-Malware 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.10.05.08 Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 8.0.6001.18702 xxx :: SUCCESS88 [Administrator] 05.10.2012 20:23:24 mbam-log-2012-10-05 (20-23-24).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 245711 Laufzeit: 3 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 3 HKCR\CLSID\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\MyWaySearchAssistantDE.Auxiliary (Adware.MyWaySearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\MyWaySearchAssistantDE.Auxiliary.1 (Adware.MyWaySearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 3 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|qwvuffhpqqvgcxw (Trojan.Ransom) -> Daten: C:\WINDOWS\qwvuffhp.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (PUP.MyWebSearch) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} (PUP.MyWebSearch) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 2 C:\Programme\MyWaySA (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\MyWaySA\SrchAsDe (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 3 C:\WINDOWS\qwvuffhp.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qwvuffhp.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\xxx\ms.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Nach diesem Suchlauf kann ich Windows wieder normal starten ohne dass mein desktop durch den bka-trojaner gesperrt wird. MfG |
![]() | #4 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() BKA-Trojaner 1.13 entfernen Servus, hört sich schon mal gut an. Schauen wir uns deinen Rechner noch etwas genauer an: Schritt 1 Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
Schritt 2 Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung. Schritt 3 Bitte
Bitte poste mit deiner nächsten Antwort
|
![]() | #5 |
![]() | ![]() BKA-Trojaner 1.13 entfernen Habe alle scans ausgeführt sowie beschrieben. Hier die ergebnisse: von dds: .DDS Logfile: Code:
ATTFilter DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 8.0.6001.18702 Run by xxx at 11:03:57 on 2012-10-06 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1432 [GMT 2:00] . AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . ============== Running Processes =============== . C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe svchost.exe svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe svchost.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\WINDOWS\system32\basfipm.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe C:\WINDOWS\system32\svchost.exe -k imgsvc C:\WINDOWS\system32\wuauclt.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Apoint\Apntex.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Hewlett-Packard\hp deskjet 460 series\Toolbox\HPWRTBX.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe . ============== Pseudo HJT Report =============== . uStart Page = hxxp://www.google.de/ uSearch Bar = hxxp://dellsearchedit.myway.com/samisc/dellsidebar.jhtml?p=DN uInternet Settings,ProxyServer = router:8080 uInternet Settings,ProxyOverride = *.local;<local> BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\adobe\acrobat 7.0\activex\AcroIEHelper.dll BHO: Solid Converter PDF: {259f616c-a300-44f5-b04a-ed001a26c85c} - c:\programme\soliddocuments\solidconverterpdf\scpdf\ExploreExtPDF.dll BHO: : {4d25f921-b9fe-4682-bf72-8ab8210d6d75} - c:\programme\mywaysa\srchasde\deSrcAs.dll BHO: DriveLetterAccess: {5ca3d70e-1895-11cf-8e15-001234567890} - c:\windows\system32\dla\tfswshx.dll TB: Solid Converter PDF: {259f616c-a300-44f5-b04a-ed001a26c85c} - c:\programme\soliddocuments\solidconverterpdf\scpdf\ExploreExtPDF.dll TB: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe uRun: [MobileConnect.EXE] c:\programme\vodafone\vodafone mobile connect\bin\MobileConnect.EXE uRun: [Iwxyydtie] "c:\dokumente und einstellungen\xxx\anwendungsdaten\myoxor\ufas.exe" uRun: [Google Update] "c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\google\update\GoogleUpdate.exe" /c mRun: [Apoint] c:\programme\apoint\Apoint.exe mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup mRun: [nwiz] nwiz.exe /installquiet mRun: [<NO NAME>] mRun: [IntelWireless] c:\programme\intel\wireless\bin\ifrmewrk.exe /tf Intel PROSet/Wireless mRun: [DVDLauncher] "c:\programme\cyberlink\powerdvd\DVDLauncher.exe" mRun: [dla] c:\windows\system32\dla\tfswctrl.exe mRun: [IntelliPoint] "c:\programme\microsoft intellipoint\point32.exe" mRun: [HPWRTOOLBOX] c:\programme\hewlett-packard\hp deskjet 460 series\toolbox\HPWRTBX.exe "-i" mRun: [QuickTime Task] "c:\programme\quicktime\QTTask.exe" -atboottime mRun: [APSDaemon] "c:\programme\gemeinsame dateien\apple\apple application support\APSDaemon.exe" mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min mRun: [iTunesHelper] "c:\programme\itunes\iTunesHelper.exe" mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 mRun: [IMEKRMIG6.1] c:\windows\ime\imkr6_1\IMEKRMIG.EXE mRun: [MSPY2002] c:\windows\system32\ime\pintlgnt\ImScInst.exe /SYNC mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE dRun: [DWQueuedReporting] "c:\progra~1\gemein~1\micros~1\dw\dwtrig20.exe" -t StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\vpncli~1.lnk - c:\windows\installer\{ccbaa1f7-e5e1-48b2-9ed9-a79c6a37ce78}\Icon3E5562ED7.ico IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office11\EXCEL.EXE/3000 IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - hxxp://www.apple.com/qtactivex/qtplugin.cab DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1204275460149 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab DPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab TCP: DhcpNameServer = 192.168.2.1 TCP: Interfaces\{00AAB83A-6468-49D0-870C-97A41B8886EE} : DhcpNameServer = 192.168.2.1 TCP: Interfaces\{A162C027-0CBC-485F-A8AA-46A3B5509AB5} : NameServer = 194.25.2.129 Notify: IntelWireless - c:\programme\intel\wireless\bin\LgNotify.dll SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll LSA: Authentication Packages = msv1_0 nwprovau . ================= FIREFOX =================== . FF - ProfilePath - c:\dokumente und einstellungen\xxx\anwendungsdaten\mozilla\firefox\profiles\nfl0en63.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: network.proxy.ftp - router FF - prefs.js: network.proxy.ftp_port - 8080 FF - prefs.js: network.proxy.gopher - router FF - prefs.js: network.proxy.gopher_port - 8080 FF - prefs.js: network.proxy.http - router FF - prefs.js: network.proxy.http_port - 8080 FF - prefs.js: network.proxy.socks - router FF - prefs.js: network.proxy.socks_port - 8080 FF - prefs.js: network.proxy.ssl - router FF - prefs.js: network.proxy.ssl_port - 8080 FF - prefs.js: network.proxy.type - 0 FF - plugin: c:\dokumente und einstellungen\xxx\lokale einstellungen\anwendungsdaten\google\update\1.3.21.123\npGoogleUpdate3.dll FF - plugin: c:\programme\microsoft silverlight\4.1.10329.0\npctrlui.dll FF - plugin: c:\programme\microsoft\office live\npOLW.dll . ---- FIREFOX POLICIES ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . ============= SERVICES / DRIVERS =============== . R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-6-28 36000] R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2012-6-28 86224] R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2012-6-28 110032] R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-6-28 83392] R3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2012-8-30 242240] R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [2006-1-26 87936] S3 GTUQBUS;GT UQ BUS;c:\windows\system32\drivers\gtuqbus.sys [2008-2-7 37120] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\mozilla maintenance service\maintenanceservice.exe [2012-6-2 114144] S3 TSClient;Tatara Protocol Driver;c:\windows\system32\drivers\tsclient.sys --> c:\windows\system32\drivers\tsclient.sys [?] S3 vsdatant;vsdatant;c:\windows\system32\vsdatant.sys [2005-1-26 280344] . =============== Created Last 30 ================ . 2012-10-05 18:20:58 -------- d-----w- c:\dokumente und einstellungen\xxx\anwendungsdaten\Malwarebytes 2012-10-05 18:19:03 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes 2012-10-05 18:19:02 22856 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-10-05 18:19:02 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2012-10-05 12:37:33 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\pjhmrinpqncvlvv 2012-10-05 09:06:55 -------- d-sh--w- c:\dokumente und einstellungen\xxx\PrivacIE 2012-09-26 10:14:06 -------- d-----w- c:\windows\Internet Logs 2012-09-26 10:13:16 127376 ----a-w- c:\windows\system32\drivers\dne2000.sys 2012-09-26 10:13:16 101904 ----a-w- c:\windows\system32\dneinobj.dll 2012-09-26 10:12:52 -------- d-----w- c:\programme\gemeinsame dateien\Deterministic Networks 2012-09-26 10:12:51 -------- d-----w- c:\programme\Cisco Systems 2012-09-11 13:27:45 73696 ----a-w- c:\programme\mozilla firefox\breakpadinjector.dll . ==================== Find3M ==================== . 2012-08-30 18:46:35 1174979 ----a-w- c:\windows\apppatch\unins000.exe 2012-08-30 17:43:45 242240 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys 2012-08-28 15:05:49 916992 ----a-w- c:\windows\system32\wininet.dll 2012-08-28 15:05:48 43520 ------w- c:\windows\system32\licmgr10.dll 2012-08-28 15:05:48 1469440 ------w- c:\windows\system32\inetcpl.cpl 2012-08-28 12:07:15 385024 ------w- c:\windows\system32\html.iec . ============= FINISH: 11:05:14,54 =============== und von gmer GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-10-06 14:45:15 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS721080G9AT00 rev.MC4OA53A Running: zwzz3meq.exe; Driver: C:\DOKUME~1\xxx~1\LOKALE~1\Temp\uwloapog.sys ---- System - GMER 1.0.15 ---- SSDT BA76EFBC ZwClose SSDT BA76EF76 ZwCreateKey SSDT BA76EFC6 ZwCreateSection SSDT BA76EF6C ZwCreateThread SSDT BA76EF7B ZwDeleteKey SSDT BA76EF85 ZwDeleteValueKey SSDT BA76EFB7 ZwDuplicateObject SSDT BA76EF8A ZwLoadKey SSDT BA76EF58 ZwOpenProcess SSDT BA76EF5D ZwOpenThread SSDT BA76EFDF ZwQueryValueKey SSDT BA76EF94 ZwReplaceKey SSDT BA76EFD0 ZwRequestWaitReplyPort SSDT BA76EF8F ZwRestoreKey SSDT BA76EFCB ZwSetContextThread SSDT BA76EFD5 ZwSetSecurityObject SSDT BA76EF80 ZwSetValueKey SSDT BA76EFDA ZwSystemDebugControl SSDT BA76EF67 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB95CC360, 0x1DF4AD, 0xE8000020] .text C:\WINDOWS\system32\drivers\ACEDRV05.sys section is writeable [0xB4BDF000, 0x30A4A, 0xE8000020] .pklstb C:\WINDOWS\system32\drivers\ACEDRV05.sys entry point in ".pklstb" section [0xB4C21000] .relo2 C:\WINDOWS\system32\drivers\ACEDRV05.sys unknown last section [0xB4C3C000, 0x8E, 0x42000040] .text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xB2292400, 0x87EE2, 0xE8000020] .protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB2336620] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xB2336620] .protectÿÿÿÿhardlockunknown last code section [0xB2336400, 0x5126, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xB2336400, 0x5126, 0xE0000020] ? C:\DOKUME~1\xxx~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) ---- EOF - GMER 1.0.15 ---- Geändert von saeaebi (06.10.2012 um 13:59 Uhr) Grund: falscher post |
![]() | #6 |
![]() | ![]() BKA-Trojaner 1.13 entfernen |
![]() | #7 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() BKA-Trojaner 1.13 entfernen Servus, du bist leider immer noch mit Malware infiziert. So geht's weiter: Schritt 1 Ich sehe, dass Du sogenannte Peer to Peer oder Filesharing Programme verwendest. In deinem Fall uTorrent. Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen. Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet. Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden. Ein ebenfalls wichtiger Punkt ist, dass das verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt. Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office. Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden. Bitte gehe zu Start --> Systemsteuerung --> Software und deinstalliere die oben genannte Software. Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst. Schritt 2
Schritt 3 Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!Downloade dir bitte Combofix vom folgenden Downloadspiegel Link 1 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Bitte poste mit deiner nächsten Antwort
|
![]() | #8 |
![]() | ![]() BKA-Trojaner 1.13 entfernen So ich habe nun die beiden Programme deinstalliert und Combofix ausgeführt. Hier das Ergebnis: Combofix Logfile: Code:
ATTFilter ComboFix 12-10-04.02 - xxx 06.10.2012 17:14:12.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1474 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\xxx\Anwendungsdaten\Ipqa c:\dokumente und einstellungen\xxx\Anwendungsdaten\Ipqa\uqisd.qia c:\dokumente und einstellungen\xxx\WINDOWS c:\windows\apppatch\AppLoc.exe c:\windows\apppatch\AppLocA.exe c:\windows\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb c:\windows\apppatch\unins000.dat c:\windows\apppatch\unins000.exe c:\windows\IsUn0407.exe c:\windows\jestertb.dll c:\windows\system32\drivers\fad.sys c:\windows\system32\hpz3l3xt.dll.1 c:\windows\system32\mail.exe c:\windows\system32\UNWISE.EXE c:\windows\system32\URTTemp c:\windows\system32\URTTemp\fusion.dll c:\windows\system32\URTTemp\mscoree.dll c:\windows\system32\URTTemp\mscoree.dll.local c:\windows\system32\URTTemp\mscorsn.dll c:\windows\system32\URTTemp\mscorwks.dll c:\windows\system32\URTTemp\msvcr71.dll c:\windows\system32\URTTemp\regtlib.exe c:\windows\unin0407.exe . . ((((((((((((((((((((((( Dateien erstellt von 2012-09-06 bis 2012-10-06 )))))))))))))))))))))))))))))) . . 2012-10-06 12:56 . 2012-10-06 12:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip 2012-10-05 18:20 . 2012-10-05 18:20 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes 2012-10-05 18:19 . 2012-10-05 18:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2012-10-05 18:19 . 2012-10-05 18:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2012-10-05 18:19 . 2012-09-07 15:04 22856 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-10-05 12:37 . 2012-10-05 12:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv 2012-10-05 09:06 . 2012-10-05 09:06 -------- d-sh--w- c:\dokumente und einstellungen\xxx\PrivacIE 2012-09-26 10:14 . 2012-09-26 10:14 -------- d-----w- c:\windows\Internet Logs 2012-09-26 10:13 . 2007-01-31 11:45 101904 ----a-w- c:\windows\system32\dneinobj.dll 2012-09-26 10:13 . 2007-01-31 11:45 127376 ----a-w- c:\windows\system32\drivers\dne2000.sys 2012-09-26 10:12 . 2012-09-26 10:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Deterministic Networks 2012-09-26 10:12 . 2012-09-26 10:12 -------- d-----w- c:\programme\Cisco Systems 2012-09-11 13:27 . 2012-09-11 13:27 73696 ----a-w- c:\programme\Mozilla Firefox\breakpadinjector.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-08-30 17:43 . 2012-08-30 17:43 242240 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys 2012-08-28 15:05 . 2004-08-13 12:40 916992 ----a-w- c:\windows\system32\wininet.dll 2012-08-28 15:05 . 2004-08-13 12:40 43520 ------w- c:\windows\system32\licmgr10.dll 2012-08-28 15:05 . 2004-08-13 12:40 1469440 ------w- c:\windows\system32\inetcpl.cpl 2012-08-28 12:07 . 2004-08-13 12:40 385024 ------w- c:\windows\system32\html.iec 2012-09-11 13:27 . 2012-06-02 11:41 266720 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2012-02-15 00:32 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2012-02-15 00:32 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2012-02-15 00:32 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4] @="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}] 2012-02-15 00:32 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\programme\Apoint\Apoint.exe" [2004-09-13 155648] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-07 7118848] "nwiz"="nwiz.exe" [2005-07-07 1519616] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024] "DVDLauncher"="c:\programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 53248] "dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-12-06 127035] "IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe" [2005-06-10 217088] "HPWRTOOLBOX"="c:\programme\Hewlett-Packard\hp deskjet 460 series\Toolbox\HPWRTBX.exe" [2005-10-26 344064] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696] "APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-15 348664] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-06-07 421776] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952] "IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264] . c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2012-9-26 6144] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-09-07 16:08 110592 ----a-w- c:\programme\Intel\Wireless\Bin\LgNotify.dll . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\LEXPPS.EXE"= "c:\\Programme\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Dokumente und Einstellungen\\xxx\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= "f:\\Program Files (x86)\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= . R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [28.06.2012 09:49 36000] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.06.2012 09:49 86224] R3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [30.08.2012 19:43 242240] R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [26.01.2006 10:20 87936] S3 GTUQBUS;GT UQ BUS;c:\windows\system32\drivers\gtuqbus.sys [07.02.2008 01:14 37120] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [02.06.2012 13:42 114144] S3 TSClient;Tatara Protocol Driver;c:\windows\system32\drivers\tsclient.sys --> c:\windows\system32\drivers\tsclient.sys [?] . Inhalt des "geplante Tasks" Ordners . 2012-10-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3428255-1566959117-2430914401-1006Core.job - c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2012-10-03 10:21] . 2012-10-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3428255-1566959117-2430914401-1006UA.job - c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2012-10-03 10:21] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyServer = router:8080 uInternet Settings,ProxyOverride = *.local;<local> IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.2.1 TCP: Interfaces\{A162C027-0CBC-485F-A8AA-46A3B5509AB5}: NameServer = 194.25.2.129 FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\nfl0en63.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: network.proxy.ftp - router FF - prefs.js: network.proxy.ftp_port - 8080 FF - prefs.js: network.proxy.gopher - router FF - prefs.js: network.proxy.gopher_port - 8080 FF - prefs.js: network.proxy.http - router FF - prefs.js: network.proxy.http_port - 8080 FF - prefs.js: network.proxy.socks - router FF - prefs.js: network.proxy.socks_port - 8080 FF - prefs.js: network.proxy.ssl - router FF - prefs.js: network.proxy.ssl_port - 8080 FF - prefs.js: network.proxy.type - 0 FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKCU-Run-MobileConnect.EXE - c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE HKCU-Run-Iwxyydtie - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Myoxor\ufas.exe AddRemove-Adobe Photoshop Elements 1.0 - c:\windows\ISUN0407.EXE AddRemove-Adobe SVG Viewer - c:\windows\IsUn0407.exe AddRemove-Hardlock Gerätetreiber - c:\windows\system32\UNWISE.EXE AddRemove-HASP HL Device Driver - c:\windows\system32\UNWISE.EXE AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe AddRemove-{9143B17E-BBDE-4EA7-A4E3-20D384D9C8A5}_is1 - c:\windows\AppPatch\unins000.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-10-06 17:20 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\ . [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*] "7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(1540) c:\programme\Intel\Wireless\Bin\LgNotify.dll . Zeit der Fertigstellung: 2012-10-06 17:22:54 ComboFix-quarantined-files.txt 2012-10-06 15:22 . Vor Suchlauf: 3.758.813.184 Bytes frei Nach Suchlauf: 4.270.637.056 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect . - - End Of File - - 5860B18DA61ECA0C1D0003CA801D085C |
![]() | #9 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() BKA-Trojaner 1.13 entfernen Servus, Ersetze die "xxx" in der Codebox durch deinen richtigen Benutzernamen, sonst wird der Fix nicht funktionieren! Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm vom folgenden Download-Spiegel neu herunter: BleepingComputer.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter Folder:: c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv c:\dokumente und einstellungen\xxx\Anwendungsdaten\Myoxor Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000000 Wichtig:
![]()
|
![]() | #10 |
![]() | ![]() BKA-Trojaner 1.13 entfernen Das nächste Logfile: Combofix Logfile: Code:
ATTFilter ComboFix 12-10-04.02 - xxx 06.10.2012 17:44:56.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1482 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\xxx\Desktop\CFScript.txt AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\btn-green.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\corners-btn.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\corners1.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\corners2.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\corners3.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\corners4.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\de-flag.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\de-image.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\ie6-7.css c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\jquery.main.js c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\main.html c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\McAfee.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\pays-de.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\steps-de.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\steps-en.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\style.css c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\tabs.png c:\dokumente und einstellungen\All Users\Anwendungsdaten\pjhmrinpqncvlvv\wait.html c:\dokumente und einstellungen\xxx\Anwendungsdaten\Myoxor . . ((((((((((((((((((((((( Dateien erstellt von 2012-09-06 bis 2012-10-06 )))))))))))))))))))))))))))))) . . 2012-10-06 12:56 . 2012-10-06 12:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip 2012-10-05 18:20 . 2012-10-05 18:20 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes 2012-10-05 18:19 . 2012-10-05 18:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2012-10-05 18:19 . 2012-10-05 18:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2012-10-05 18:19 . 2012-09-07 15:04 22856 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-10-05 09:06 . 2012-10-05 09:06 -------- d-sh--w- c:\dokumente und einstellungen\xxx\PrivacIE 2012-09-26 10:14 . 2012-09-26 10:14 -------- d-----w- c:\windows\Internet Logs 2012-09-26 10:13 . 2007-01-31 11:45 101904 ----a-w- c:\windows\system32\dneinobj.dll 2012-09-26 10:13 . 2007-01-31 11:45 127376 ----a-w- c:\windows\system32\drivers\dne2000.sys 2012-09-26 10:12 . 2012-09-26 10:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Deterministic Networks 2012-09-26 10:12 . 2012-09-26 10:12 -------- d-----w- c:\programme\Cisco Systems 2012-09-11 13:27 . 2012-09-11 13:27 73696 ----a-w- c:\programme\Mozilla Firefox\breakpadinjector.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-08-30 17:43 . 2012-08-30 17:43 242240 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys 2012-08-28 15:05 . 2004-08-13 12:40 916992 ----a-w- c:\windows\system32\wininet.dll 2012-08-28 15:05 . 2004-08-13 12:40 43520 ------w- c:\windows\system32\licmgr10.dll 2012-08-28 15:05 . 2004-08-13 12:40 1469440 ------w- c:\windows\system32\inetcpl.cpl 2012-08-28 12:07 . 2004-08-13 12:40 385024 ------w- c:\windows\system32\html.iec 2012-09-11 13:27 . 2012-06-02 11:41 266720 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2012-02-15 00:32 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2012-02-15 00:32 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2012-02-15 00:32 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4] @="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}] 2012-02-15 00:32 94208 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\programme\Apoint\Apoint.exe" [2004-09-13 155648] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-07 7118848] "nwiz"="nwiz.exe" [2005-07-07 1519616] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024] "DVDLauncher"="c:\programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 53248] "dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-12-06 127035] "IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe" [2005-06-10 217088] "HPWRTOOLBOX"="c:\programme\Hewlett-Packard\hp deskjet 460 series\Toolbox\HPWRTBX.exe" [2005-10-26 344064] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696] "APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-15 348664] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-06-07 421776] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952] "IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264] . c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2012-9-26 6144] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-09-07 16:08 110592 ----a-w- c:\programme\Intel\Wireless\Bin\LgNotify.dll . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\LEXPPS.EXE"= "c:\\Programme\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Dokumente und Einstellungen\\xxx\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= "f:\\Program Files (x86)\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= . R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [28.06.2012 09:49 36000] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.06.2012 09:49 86224] R3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [30.08.2012 19:43 242240] R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [26.01.2006 10:20 87936] S3 GTUQBUS;GT UQ BUS;c:\windows\system32\drivers\gtuqbus.sys [07.02.2008 01:14 37120] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [02.06.2012 13:42 114144] S3 TSClient;Tatara Protocol Driver;c:\windows\system32\drivers\tsclient.sys --> c:\windows\system32\drivers\tsclient.sys [?] . Inhalt des "geplante Tasks" Ordners . 2012-10-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3428255-1566959117-2430914401-1006Core.job - c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2012-10-03 10:21] . 2012-10-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3428255-1566959117-2430914401-1006UA.job - c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2012-10-03 10:21] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyServer = router:8080 uInternet Settings,ProxyOverride = *.local;<local> IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 TCP: Interfaces\{A162C027-0CBC-485F-A8AA-46A3B5509AB5}: NameServer = 194.25.2.129 FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\nfl0en63.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - prefs.js: network.proxy.ftp - router FF - prefs.js: network.proxy.ftp_port - 8080 FF - prefs.js: network.proxy.gopher - router FF - prefs.js: network.proxy.gopher_port - 8080 FF - prefs.js: network.proxy.http - router FF - prefs.js: network.proxy.http_port - 8080 FF - prefs.js: network.proxy.socks - router FF - prefs.js: network.proxy.socks_port - 8080 FF - prefs.js: network.proxy.ssl - router FF - prefs.js: network.proxy.ssl_port - 8080 FF - prefs.js: network.proxy.type - 0 FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-10-06 17:51 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\ . [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|þ»Ñw*] "7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(1540) c:\programme\Intel\Wireless\Bin\LgNotify.dll . Zeit der Fertigstellung: 2012-10-06 17:55:16 ComboFix-quarantined-files.txt 2012-10-06 15:55 ComboFix2.txt 2012-10-06 15:22 . Vor Suchlauf: 4.274.307.072 Bytes frei Nach Suchlauf: 4.263.788.544 Bytes frei . - - End Of File - - DCEA4967728D3427BE2EFDD8CDA1F945 |
![]() |
Themen zu BKA-Trojaner 1.13 entfernen |
abgesicherte, abgesicherten, abgesicherten modus, bka-trojaner, bka-trojaner 1.13, entferne, entfernen, heute, inter, interne, malwarebytes, modus, nutze, poste, scan, trojaner, version, version 1.13, windows, windows xp., ältere |