| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: fbdownloader search in Firfox Tab nervtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.12.2012, 20:03
| #31 |
 |  fbdownloader search in Firfox Tab nervt DDS Logfile: Code:
ATTFilter DDS (Ver_2012-11-20.01) - NTFS_x86
Internet Explorer: 9.0.8112.16455 BrowserJavaVersion: 10.9.2
Run by multum at 19:58:45 on 2012-12-02
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.3326.2463 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ================
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\ArchiCrypt\ArchiCrypt Shredder 6\ArchiCryptInjector32.exe
C:\Program Files\MagicTune Premium\MagicTuneEngine.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\OO Software\Defrag\oodag.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Alpenland\Euro + @\euroat.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k secsvcs
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\program files\java\jre7\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\program files\java\jre7\bin\jp2ssv.dll
uRun: [euroat.exe] c:\program files\alpenland\euro + @\euroat.exe
uRun: [Rainlendar2] c:\program files\rainlendar2\Rainlendar2.exe
uRun: [Protector] wscript.exe "c:\users\multum\appdata\roaming\sdiv 2.0\prot\prot.vbs" check
mRun: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "c:\program files\amd avt\bin\kdbsync.exe" aml
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
uPolicies-Explorer: NoDriveTypeAutoRun = dword:145
uPolicies-Explorer: NoDrives = dword:0
mPolicies-Explorer: NoDrives = dword:0
mPolicies-System: ConsentPromptBehaviorAdmin = dword:5
mPolicies-System: ConsentPromptBehaviorUser = dword:3
mPolicies-System: EnableUIADesktopToggle = dword:0
mPolicies-System: PromptOnSecureDesktop = dword:0
IE: add to &BOM - c:\\progra~1\\biet-o~1\\\\AddToBOM.hta
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~3\office10\EXCEL.EXE/3000
IE: {133681A1-FCC5-46C2-8A65-954988FD4DD6} - c:\program files\freshdevices\freshdownload\fd.exe
LSP: c:\program files\avira\antivir desktop\avsda.dll
.
INFO: HKCU has more than 50 listed domains.
If you wish to scan all of them, select the 'Force scan all domains' option.
.
.
INFO: HKLM has more than 50 listed domains.
If you wish to scan all of them, select the 'Force scan all domains' option.
.
DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} - hxxp://quickscan.bitdefender.com/qsax/qsax.cab
TCP: NameServer = 192.168.2.1
TCP: Interfaces\{3BE42F3A-EA65-4DB8-92CF-EC26CD81FF6D} : DHCPNameServer = 192.168.2.1
TCP: Interfaces\{A9A06B0A-F6A5-44E4-9472-D3C8539EBFC6} : DHCPNameServer = 192.168.2.1
SSODL: WebCheck - <orphaned>
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\multum\appdata\roaming\mozilla\firefox\profiles\ojq95yd0.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\program files\adobe\reader 11.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\update\1.3.21.123\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre7\bin\plugin2\npjp2.dll
FF - plugin: c:\program files\microsoft silverlight\5.1.10411.0\npctrlui.dll
FF - plugin: c:\program files\microsoft\office live\npOLW.dll
FF - plugin: c:\program files\sony\readerdesktop\npreaderdetectmoz.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_233.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_5_502_110.dll
FF - plugin: c:\windows\system32\npdeployJava1.dll
FF - plugin: c:\windows\system32\npmproxy.dll
.
============= SERVICES / DRIVERS ===============
.
R0 hotcore3;hc3ServiceName;c:\windows\system32\drivers\hotcore3.sys [2012-5-2 40560]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-10-10 36552]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2012-6-11 217600]
R2 AMD FUEL Service;AMD FUEL Service;c:\program files\ati technologies\ati.ace\fuel\Fuel.Service.exe [2012-3-9 291840]
R2 AntiVirMailService;Avira Email Schutz;c:\program files\avira\antivir desktop\avmailc.exe [2012-10-10 379168]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2012-10-10 85280]
R2 AntiVirService;Avira Echtzeit-Scanner;c:\program files\avira\antivir desktop\avguard.exe [2012-10-10 109344]
R2 AntiVirWebService;Avira Browser-Schutz;c:\program files\avira\antivir desktop\avwebgrd.exe [2012-10-10 565024]
R2 AODDriver4.1;AODDriver4.1;c:\program files\ati technologies\ati.ace\fuel\i386\aoddriver2.sys [2012-3-5 45184]
R2 ArchiCrypt Sichere Loeschzonen;ArchiCrypt Shredder - Sichere Löschzonen Hilfsservice;c:\program files\archicrypt\archicrypt shredder 6\ArchiCryptInjector32.exe [2012-5-25 181824]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-10-10 83432]
R2 MBAMScheduler;MBAMScheduler;c:\program files\malwarebytes' anti-malware\mbamscheduler.exe [2012-12-1 399432]
R2 MSSQL$ACCUCHEK360;SQL Server (ACCUCHEK360);c:\program files\microsoft sql server\mssql.1\mssql\binn\sqlservr.exe [2010-12-10 29293408]
R3 amdiox86;AMD IO Driver;c:\windows\system32\drivers\amdiox86.sys [2012-4-19 37944]
R3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2012-7-11 86544]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-12-1 22856]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2011-6-10 394856]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8192su.sys [2010-11-25 603240]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-12-1 676936]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-11-5 14848]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\program files\sisoftware\sisoftware sandra lite 2012.sp4\RpcAgentSrv.exe [2012-5-7 95896]
S3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;c:\windows\system32\drivers\silabenm.sys [2012-9-11 47176]
S3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;c:\windows\system32\drivers\silabser.sys [2012-9-11 61312]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2012-11-5 49664]
S3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-11-5 27136]
.
=============== Created Last 30 ================
.
2012-12-02 16:58:36 60872 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{06d93d5e-dcf0-48ea-a248-aef5999e379c}\offreg.dll
2012-12-02 16:36:50 -------- d-----w- c:\windows\system32\wbem\en-US
2012-12-02 10:18:18 -------- d-----w- c:\users\multum\appdata\local\Threat Expert
2012-12-02 10:01:07 -------- d-----w- c:\program files\PC Tools
2012-12-02 09:57:57 202280 ----a-w- c:\windows\system32\drivers\PCTSD.sys
2012-12-02 09:57:57 -------- d-----w- c:\program files\common files\PC Tools
2012-12-02 09:57:29 -------- d-----w- c:\programdata\PC Tools
2012-12-02 09:57:27 -------- d-----w- c:\users\multum\appdata\roaming\TestApp
2012-12-02 09:36:04 -------- d-----w- c:\users\multum\appdata\roaming\QuickScan
2012-12-02 08:26:00 93672 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2012-12-01 17:40:11 -------- d-----w- c:\program files\ESET
2012-12-01 16:40:46 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-12-01 16:40:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-12-01 13:58:28 -------- d-----w- C:\$RECYCLE.BIN
2012-12-01 13:56:10 -------- d-----w- c:\users\multum\appdata\local\temp
2012-12-01 09:26:20 98816 ----a-w- c:\windows\sed.exe
2012-12-01 09:26:20 256000 ----a-w- c:\windows\PEV.exe
2012-12-01 09:26:20 208896 ----a-w- c:\windows\MBR.exe
2012-12-01 08:22:52 6812136 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{06d93d5e-dcf0-48ea-a248-aef5999e379c}\mpengine.dll
2012-11-30 04:24:22 111456 -c----w- c:\programdata\microsoft\windows\wer\reportqueue\appcrash_c0000185_527d3ae4857ee3c17b123f7227aaf8386dbab6_cab_0f4bcf40\TUMessages.exe
2012-11-29 21:53:55 100352 -c----w- c:\programdata\microsoft\windows\wer\reportqueue\appcrash_c0000185_dbfe58a15974f74165c2cc8a372e6eadcdbe7c96_cab_0a750fd8\sspicli.dll
2012-11-29 16:58:52 -------- d-----w- c:\users\multum\appdata\roaming\Malwarebytes
2012-11-29 16:58:38 -------- d-----w- c:\programdata\Malwarebytes
2012-11-25 09:42:57 -------- d-----w- C:\36c3aac388f9cbe7c790a67689c319
2012-11-25 09:35:33 -------- d-----w- c:\program files\FreshDevices
2012-11-21 16:26:58 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2012-11-21 16:26:58 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2012-11-21 16:26:58 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2012-11-21 08:29:07 -------- d-----w- c:\program files\CheckDrive
2012-11-14 09:04:23 78336 ----a-w- c:\windows\system32\synceng.dll
2012-11-14 09:04:08 2345984 ----a-w- c:\windows\system32\win32k.sys
2012-11-05 17:13:38 164352 ----a-w- c:\windows\system32\profsvc.dll
2012-11-05 16:55:52 369856 ----a-w- c:\windows\system32\drivers\cng.sys
2012-11-05 16:55:52 247808 ----a-w- c:\windows\system32\schannel.dll
2012-11-05 16:55:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
2012-11-05 16:55:52 136560 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-11-05 16:55:52 1039360 ----a-w- c:\windows\system32\lsasrv.dll
2012-11-05 16:55:48 442880 ----a-w- c:\windows\system32\ntshrui.dll
2012-11-05 16:55:46 478720 ----a-w- c:\windows\system32\timedate.cpl
2012-11-05 16:55:45 288256 ----a-w- c:\windows\system32\XpsGdiConverter.dll
2012-11-05 16:54:05 27008 ----a-w- c:\windows\system32\drivers\Diskdump.sys
2012-11-05 16:43:14 805376 ----a-w- c:\windows\system32\FntCache.dll
2012-11-05 16:43:14 739840 ----a-w- c:\windows\system32\d2d1.dll
2012-11-05 16:43:12 161792 ----a-w- c:\windows\system32\d3d10_1.dll
2012-11-05 16:42:30 219008 ----a-w- c:\windows\system32\drivers\dxgmms1.sys
.
==================== Find3M ====================
.
2012-12-02 08:25:52 821736 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-12-02 08:25:52 746984 ----a-w- c:\windows\system32\deployJava1.dll
2012-11-23 09:38:13 1664 ----a-w- c:\windows\system32\ASOROSet.bin
2012-11-21 08:23:46 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-11-21 08:23:46 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-11-13 11:31:45 83432 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-11-13 11:31:45 36552 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-09-20 15:02:06 1425208 ----a-w- c:\windows\system32\LogiLDA.DLL
2012-09-14 18:28:53 2048 ----a-w- c:\windows\system32\tzres.dll
.
============= FINISH: 19:59:06,40 ===============
|
|
02.12.2012, 20:07
| #32 |
| | fbdownloader search in Firfox Tab nervt dds.txt
__________________ |
|
02.12.2012, 20:15
| #33 | ||
| /// TB-Ausbilder  | fbdownloader search in Firfox Tab nervt Die Malware war natürlich wieder da ...
__________________Combofix-Skript
__________________ |
|
02.12.2012, 21:11
| #34 |
| | fbdownloader search in Firfox Tab nervt Diese Bild von combofix zeigt sich nicht, auch beim Lauf vorher nicht. Ich habe die cfscript Datei ohne Bild rübergezogen. Datei ist zu groß zum hochladen. Was mach ich jetzt? |
|
02.12.2012, 21:17
| #35 |
| | fbdownloader search in Firfox Tab nervt zip-datei |
|
02.12.2012, 21:27
| #36 |
| /// TB-Ausbilder | fbdownloader search in Firfox Tab nervt Hast du den Spyware Doctore jetzt entfernt? Wenn nicht nachholen bitte!
__________________ --> fbdownloader search in Firfox Tab nervt |
|
02.12.2012, 22:03
| #37 |
| | fbdownloader search in Firfox Tab nervt war schon entfernt |
|
02.12.2012, 22:26
| #38 | ||||
| /// TB-Ausbilder | fbdownloader search in Firfox Tab nervt Prima!  Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren
Schritt 2: ESET deinstallieren (Optional) Abschließend noch Tipps zu folgenden Themen:
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
03.12.2012, 17:16
| #39 |
| | fbdownloader search in Firfox Tab nervt Alles erledigt. Flyerflyer sagt DANKE !!! Da ich nicht weiß, wie gefährlich fbdownl. ist, werde ich wohl die Festplatte neu formatieren müssen. Kannst du sagen wieweit externe FP mit betroffen sind? Das wäre die letzte Frage. |
|
04.12.2012, 15:27
| #40 |
| /// TB-Ausbilder | fbdownloader search in Firfox Tab nervt Du müßt da nichts formatieren, das ist nur Werbung. Externe Festplatten kriegen davon normalerweise nichts ab, es sei denn es landet in einer Sicherung.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
06.12.2012, 13:00
| #41 |
| /// TB-Ausbilder | fbdownloader search in Firfox Tab nervt Schön, dass wir helfen konnten  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
| Themen zu fbdownloader search in Firfox Tab nervt |
| antivirus, anzeige, board, entferne, externe, externen, fbdownloader search, festplatte, firfox, gelöscht, installer, liebe, lieben, loader, malwarebytes, nervt, nichts, platte, premium, programm, revo uninstaller, search, suchmaschine, tab, uninstaller, versuch, versucht |
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Linear-Darstellung
