| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner gefunden!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.10.2012, 05:08
| #1 |
| |  Trojaner gefunden! Hallo, erstmal: ich bin neu hier  Also ich habe vor ungefähr 2 stunden einen auffälligen prozess erkannt: "dmview.exe*32" dieser prozess hat die beschreibung "zuckerbergs support". Ich bin mir sehr sicher dass dieser Prozess ein Virus bzw. ein trojaner ist, weil er sich nicht beenden lässt.  Allerdings hab ich irgendwie keinen bock auf einen trojaner..^^ deshalb möchte ich diesen so schnell wie möglich los werden. der dateipfad lautet: C:\Users\Admin\AppData\Local\Temp allerdings kann ich dort nichts finden. Bitte helft mir MFG falkenbach12 |
|
25.10.2012, 13:18
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Trojaner gefunden! Bitte nun routinemäßig einen Quickscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ |
|
26.10.2012, 02:26
| #3 |
| | Trojaner gefunden! ok habe den trojaner heute morgen schon behoben mit systemwiederherstellung
__________________ jetz kommt jeden systemstart die meldung : konnte datei nicht öffnen: winupdate[beliebige zahlen einfügen]  aber ich glaube jetzt ist der trojaner unschädlich  |
|
26.10.2012, 13:12
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden! Die SWH allein ist zu unsicher! Zitat:
 Bitte mach die Logs
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
26.10.2012, 13:47
| #5 |
| | Trojaner gefunden!Code:
ATTFilter Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.10.26.06 Windows 7 x64 NTFS Internet Explorer 8.0.7600.16385 Admin :: ADMIN-PC [Administrator] 26.10.2012 14:41:46 mbam-log-2012-10-26 (14-46-04).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 239440 Laufzeit: 3 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 4 HKCU\SOFTWARE\Bifrost (Bifrose.Trace) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\BIFROST1.2 (Bifrose.Trace) -> Keine Aktion durchgeführt. HKCU\Software\DC3_FEXEC (Malware.Trace) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Bifrost (Bifrose.Trace) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winupdate (Spyware.Passwords) -> Daten: C:\Program Files\Java\jre7\bin\javaw -jar "C:\Users\Admin\AppData\Local\Temp\winupdate3584156570479431120.jar" -> Keine Aktion durchgeführt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WindowsUpdate.exe (Backdoor.IRCBot.Gen) -> Daten: C:\Users\Admin\AppData\Local\Temp\tmpF5B6.tmp.exe -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 1 C:\Users\Admin\AppData\Roaming\dclogs (Stolen.Data) -> Keine Aktion durchgeführt. Infizierte Dateien: 8 C:\Users\Admin\AppData\Roaming\PhrozenSoft\DCLegacyViewer\DCViewer.exe (Trojan.Backdoor) -> Keine Aktion durchgeführt. C:\Users\Admin\AppData\Roaming\PhrozenSoft\DCLegacyViewer\upnp.exe (Backdoor.Daromec) -> Keine Aktion durchgeführt. C:\Users\Admin\Desktop\Trainer.exe (Malware.Packer.Gen) -> Keine Aktion durchgeführt. C:\Windows\Bifrost.exe (Backdoor.BifrosePS) -> Keine Aktion durchgeführt. C:\Users\Admin\AppData\Roaming\dclogs\2012-10-24-4.dc (Stolen.Data) -> Keine Aktion durchgeführt. C:\Users\Admin\AppData\Roaming\dclogs\2012-10-25-5.dc (Stolen.Data) -> Keine Aktion durchgeführt. C:\Windows\System32\explorer.exe.replaced (Heuristics.Reserved.Word.Exploit) -> Keine Aktion durchgeführt. C:\Windows\SysWOW64\explorer.exe.replaced (Heuristics.Reserved.Word.Exploit) -> Keine Aktion durchgeführt. (Ende) Geändert von falkenbach12 (26.10.2012 um 13:52 Uhr) |
|
26.10.2012, 14:00
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden! Soviel zum Thema Wirksamkeit der SWH  Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ --> Trojaner gefunden! |
|
26.10.2012, 14:52
| #7 |
| | Trojaner gefunden! jo hab ausgeführt: LOGDATEI: Code:
ATTFilter ComboFix 12-10-26.01 - Admin 26.10.2012 15:11:24.1.2 - x64
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3070.2129 [GMT 2:00]
ausgeführt von:: c:\users\Admin\Desktop\ComboFix.exe
AV: avast! Internet Security *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
FW: avast! Internet Security *Disabled* {131692B0-0864-D491-4E21-3A3A1D8BBB47}
SP: avast! Internet Security *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\CFLog
c:\cflog\CrashLog_20120528.txt
c:\cflog\CrashLog_20120610.txt
c:\cflog\CrashLog_20120623.txt
c:\cflog\CrashLog_20120718.txt
c:\cflog\CrashLog_20120719.txt
c:\cflog\CrashLog_20120720.txt
c:\cflog\CrashLog_20120721.txt
c:\cflog\CrashLog_20120722.txt
c:\cflog\CrashLog_20120810.txt
c:\cflog\CrashLog_20120915.txt
c:\cflog\CrashLog_20120916.txt
c:\cflog\CrashLog_20121012.txt
c:\cflog\CrashLog_20121022.txt
c:\cflog\CrashLog_20121023.txt
c:\cflog\CrashLog_20121024.txt
c:\cflog\CrashLog_20121025.txt
c:\programdata\1335651367.bdinstall.bin
c:\programdata\1335656341.bdinstall.bin
c:\programdata\1350170436.bdinstall.bin
c:\programdata\1350171588.bdinstall.bin
c:\programdata\1350180541.bdinstall.bin
c:\users\Admin\AppData\Roaming\Adminlog.dat
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_nvsvc
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-09-26 bis 2012-10-26 ))))))))))))))))))))))))))))))
.
.
2012-10-26 12:41 . 2012-10-26 12:41 -------- d-----w- c:\users\Admin\AppData\Roaming\Malwarebytes
2012-10-26 12:40 . 2012-10-26 12:40 -------- d-----w- c:\programdata\Malwarebytes
2012-10-26 12:40 . 2012-09-29 17:54 25928 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-10-25 13:07 . 2012-10-25 13:07 1180099 ----a-w- c:\windows\unins000.exe
2012-10-25 12:57 . 2012-10-23 10:18 25232 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-10-25 12:57 . 2012-10-23 10:18 364096 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-10-25 12:57 . 2012-10-23 10:18 132864 ----a-w- c:\windows\system32\drivers\aswFW.sys
2012-10-25 12:56 . 2012-10-23 10:18 262656 ----a-w- c:\windows\system32\drivers\aswNdis2.sys
2012-10-25 12:56 . 2012-10-15 16:59 54072 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2012-10-25 12:56 . 2012-10-23 10:18 984144 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-10-25 12:56 . 2012-10-23 10:18 59728 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-10-25 12:56 . 2012-10-23 10:18 71600 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2012-10-25 12:56 . 2012-06-27 20:33 12368 ----a-w- c:\windows\system32\drivers\aswNdis.sys
2012-10-25 12:56 . 2012-10-23 10:17 41224 ----a-w- c:\windows\avastSS.scr
2012-10-25 12:56 . 2012-10-23 10:17 227648 ----a-w- c:\windows\SysWow64\aswBoot.exe
2012-10-25 02:33 . 2012-10-25 12:27 -------- d-----w- c:\program files (x86)\Astroburn Lite
2012-10-25 02:33 . 2012-10-25 02:33 -------- d-----w- c:\programdata\Astroburn Lite
2012-10-25 02:10 . 2012-10-25 02:10 -------- d-----w- c:\users\Admin\AppData\Roaming\Avira
2012-10-25 02:08 . 2012-10-25 02:08 -------- d-----w- c:\program files (x86)\Avira
2012-10-25 00:02 . 2012-10-25 00:02 -------- d-----w- c:\users\Admin\VirtualBox VMs
2012-10-25 00:01 . 2012-10-25 01:32 -------- d-----w- c:\users\Admin\.VirtualBox
2012-10-24 19:31 . 2012-10-24 19:31 -------- d-----w- c:\users\Admin\AppData\Roaming\PhrozenSoft
2012-10-24 18:21 . 2012-10-24 18:20 289768 ----a-w- c:\windows\system32\javaws.exe
2012-10-24 18:21 . 2012-10-24 18:20 1034216 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-10-24 18:20 . 2012-10-24 18:20 108008 ----a-w- c:\windows\system32\WindowsAccessBridge-64.dll
2012-10-24 18:20 . 2012-10-24 18:20 189416 ----a-w- c:\windows\system32\javaw.exe
2012-10-24 18:20 . 2012-10-24 18:20 188904 ----a-w- c:\windows\system32\java.exe
2012-10-23 09:44 . 2012-10-23 09:44 -------- d-----w- c:\users\Admin\AppData\Roaming\dvdcss
2012-10-22 19:10 . 2012-10-22 19:10 -------- d-----w- c:\users\Admin\AppData\Local\SimpsInject_v3
2012-10-21 10:22 . 2012-10-21 10:22 -------- d-----w- c:\users\Admin\AppData\Local\NiXoN_II___Injector
2012-10-14 11:34 . 2012-10-25 12:28 -------- d-----w- c:\users\Administrator
2012-10-14 11:32 . 2012-10-14 11:32 -------- d-----w- c:\users\Andere\AppData\Roaming\DAEMON Tools Lite
2012-10-13 23:24 . 2007-04-11 09:11 511328 ----a-w- c:\windows\capicom.dll
2012-10-13 23:21 . 2012-10-13 23:21 -------- d-----w- c:\users\Admin\AppData\Roaming\QuickScan
2012-10-13 22:54 . 2012-10-13 22:54 -------- d-----w- c:\windows\SysWow64\Hotspot Shield
2012-10-13 19:12 . 2012-10-13 19:12 -------- d-----w- c:\program files (x86)\Hotspot_Shield
2012-10-13 00:07 . 2012-10-25 12:27 -------- d-----w- c:\users\Admin\AppData\Roaming\vlc
2012-10-06 01:36 . 2012-10-06 01:36 -------- d-sh--w- c:\programdata\SecuROM
2012-10-06 01:36 . 2012-10-06 01:36 -------- d-----w- c:\windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
2012-10-06 01:36 . 2012-10-06 01:36 -------- d-----w- c:\program files (x86)\Common Files\Wise Installation Wizard
2012-10-05 18:52 . 2012-10-05 20:31 -------- d-----w- c:\programdata\Tunngle
2012-10-05 18:52 . 2012-10-05 19:03 -------- d-----w- c:\users\Admin\AppData\Roaming\Tunngle
2012-10-05 18:52 . 2009-09-16 06:02 31232 ----a-w- c:\windows\system32\drivers\tap0901t.sys
2012-09-30 14:10 . 2012-10-05 19:06 -------- d-sh--r- c:\users\Admin\AppData\Roaming\Apple
2012-09-30 14:05 . 2012-09-30 14:05 -------- d-----w- c:\users\Admin\AppData\Roaming\ts3overlay
2012-09-28 23:46 . 2012-09-28 23:46 -------- d-----w- c:\users\Admin\AppData\Local\SKIDROW
2012-09-28 22:00 . 2012-09-28 23:50 -------- d-----w- c:\programdata\SweetIM
2012-09-28 22:00 . 2012-09-28 23:50 -------- d-----w- c:\program files (x86)\SweetIM
2012-09-28 19:58 . 2012-09-28 19:58 -------- d-----w- c:\users\Admin\AppData\Roaming\InstallShield Installation Information
2012-09-28 19:00 . 2012-09-28 19:28 -------- d-----w- c:\users\Admin\.android
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-24 18:20 . 2012-04-15 19:57 916456 ----a-w- c:\windows\system32\deployJava1.dll
2012-10-23 10:18 . 2012-09-14 14:12 21136 ----a-w- c:\windows\system32\drivers\aswKbd.sys
2012-10-23 10:17 . 2012-04-15 17:56 285328 ----a-w- c:\windows\system32\aswBoot.exe
2012-09-13 21:06 . 2012-09-13 21:06 42248 ----a-w- c:\windows\system32\drivers\hssdrv6.sys
2012-09-08 20:33 . 2012-09-08 20:33 77352 ----a-w- c:\windows\system32\drivers\vrtaucbl.sys
2012-09-06 16:09 . 2012-09-06 16:10 95208 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-09-06 16:09 . 2012-07-11 17:28 821736 ----a-w- c:\windows\SysWow64\npDeployJava1.dll
2012-09-06 16:09 . 2012-07-11 17:28 746984 ----a-w- c:\windows\SysWow64\deployJava1.dll
2012-08-24 21:49 . 2012-08-24 21:49 283200 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2012-08-24 13:53 . 2012-04-15 20:40 73416 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-08-24 13:53 . 2012-04-15 20:40 696520 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2012-07-04 130904]
"{c95a4e8e-816d-4655-8c79-d736da1adb6d}"= "c:\program files (x86)\Hotspot_Shield\prxtbHots.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
2011-05-09 09:49 176936 ----a-w- c:\program files (x86)\Hotspot_Shield\prxtbHots.dll
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2012-07-04 13:03 1310040 ------w- c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2012-07-04 1310040]
"{c95a4e8e-816d-4655-8c79-d736da1adb6d}"= "c:\program files (x86)\Hotspot_Shield\prxtbHots.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
"DAEMON Tools Lite"="d:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-04-11 3672384]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"LogMeIn Hamachi Ui"="d:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-08-29 1996200]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-23 4297136]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update-Dienst (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-10 116648]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-03 160944]
R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-10 116648]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [x]
R3 ScreamBAudioSvc;ScreamBee Audio;c:\windows\system32\drivers\ScreamingBAudio64.sys [2010-07-01 38992]
R3 TunngleService;TunngleService;d:\program files (x86)\Tunngle\TnglCtrl.exe [2012-10-02 743320]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-04-25 52736]
R3 X6va008;X6va008;c:\windows\SysWOW64\Drivers\X6va008 [x]
R3 X6va009;X6va009;c:\windows\SysWOW64\Drivers\X6va009 [x]
R3 X6va011;X6va011;c:\windows\SysWOW64\Drivers\X6va011 [x]
R4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\program files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE [2009-07-21 61976]
R4 RsFx0103;RsFx0103 Driver;c:\windows\system32\DRIVERS\RsFx0103.sys [2009-03-30 311656]
R4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [2009-03-30 427880]
S0 aswNdis;avast! Firewall NDIS Filter Service;c:\windows\system32\DRIVERS\aswNdis.sys [2012-06-27 12368]
S0 aswNdis2;avast! Firewall Core Firewall Service; [x]
S1 aswFW;avast! TDI Firewall driver; [x]
S1 aswKbd;aswKbd; [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-08-24 283200]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-10-23 71600]
S2 avast! Firewall;avast! Firewall;c:\program files\AVAST Software\Avast\afwServ.exe [2012-10-23 133912]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;d:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-08-29 2369960]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-10-14 381248]
S2 TeamViewer7;TeamViewer 7;c:\program files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2012-08-24 2735528]
S3 EuMusDesignVirtualAudioCableWdm;Virtual Audio Cable (WDM);c:\windows\system32\DRIVERS\vrtaucbl.sys [2012-09-08 77352]
S3 netr7364;Belkin Wireless 54G USB Network Adapter Driver for Vista;c:\windows\system32\DRIVERS\netr7364.sys [2012-04-15 575488]
S3 tap0901t;TAP-Win32 Adapter V9 (Tunngle);c:\windows\system32\DRIVERS\tap0901t.sys [2009-09-16 31232]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-10-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-10 20:35]
.
2012-10-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-10 20:35]
.
2012-10-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-713002007-3358215416-2879907089-1000Core.job
- c:\users\Admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-04-15 18:07]
.
2012-10-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-713002007-3358215416-2879907089-1000UA.job
- c:\users\Admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-04-15 18:07]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-23 10:17 133400 ----a-w- c:\program files\AVAST Software\Avast\ashShA64.dll
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{F791A188-699D-4FD4-955A-EB59E89B1907}"= "\Program Files\Theme Resource Changer\ThemeResourceChanger.dll" [2010-10-07 103936]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.olgh.net
mStart Page = about:blank
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
Trusted Zone: clonewarsadventures.com
Trusted Zone: freerealms.com
Trusted Zone: soe.com
Trusted Zone: sony.com
FF - ProfilePath - c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\0n8r16co.default\
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.type - 1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{0027da2d-c9f2-4b0b-ae05-e2cd1bdb6cff} - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
WebBrowser-{C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - (no file)
AddRemove-Android SDK Tools - d:\android\uninstall.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va008]
"ImagePath"="\??\c:\windows\SysWOW64\Drivers\X6va008"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va009]
"ImagePath"="\??\c:\windows\SysWOW64\Drivers\X6va009"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va011]
"ImagePath"="\??\c:\windows\SysWOW64\Drivers\X6va011"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_235_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_235_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\SysWOW64\PnkBstrA.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-10-26 15:41:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-10-26 13:41
.
Vor Suchlauf: 15 Verzeichnis(se), 50.481.999.872 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 49.728.995.328 Bytes frei
.
- - End Of File - - A258854E29F6A73C8504BF7F21B930D3
|
|
26.10.2012, 15:05
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gefunden!Code:
ATTFilter c:\users\Admin\AppData\Local\SKIDROW
Siehe auch => http://www.trojaner-board.de/95393-c...-software.html Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden. Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Trojaner gefunden! |
| admin, appdata, beenden, beschreibung, crazy, erkannt, gefunde, gefunden.., helft, local, löschen nicht möglich, neu, nichts, prozess, rojaner gefunden, schnell, stunde, stunden, support, troja, trojaner, trojaner gefunden, users, virus |
Linear-Darstellung
