| |
| |||||||
Log-Analyse und Auswertung: exploit.drop.gsa eingefangenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.01.2013, 00:02
| #1 |
 |  exploit.drop.gsa eingefangen Ich hoffe jemand kann mir helfen, ich habe exploit.drop.gsa eingefangen. Sofort nachher habe ich mit „Malware Bytes“ gescannt..Ergebnis liegt ins Logfile. Ein weiteres Scan zeigt gar nichts (auch mit cccleaner) aber mein Rechner hat noch Problemen.... Das Rechner bootet ok aber es kommt ein Meldung von Windows (7) „Wartungscenter“...“Dienst Windows Sicherheitscenter aktivieren“. Dieser dienst startet nichts und dem Feld „Abhängigkeiten“ ist leer. Unter Dienst Verwaltungsinstrumentation steht „Modul nicht gefunden“ , auch hier unter Abhängigkeiten steht nichts. Logfiles von OTL und GMER sind auch unten. Danke ins Voraus. |
|
09.01.2013, 00:07
| #2 |
| /// Malware-holic   | exploit.drop.gsa eingefangen Hi,
__________________ausführen bitte, Index of /win-services/ nachfrage bestätigen download tdss killer: http://www.trojaner-board.de/82358-t...entfernen.html Klicke auf Change parameters • Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system • Klick auf OK und anschließend auf Start scan - bei funden erst mal immer skip wählen, log posten
__________________ |
|
09.01.2013, 03:27
| #3 |
| | exploit.drop.gsa eingefangen …....“Hi,
__________________ausführen bitte, Index of /win-services/ nachfrage bestätigen „ es gibt kein nachfrage zu bestätigen, bitte Link überprufen …....„bei funden erst mal immer skip wählen, log posten“ __________________ Es gibt überhaupt keine Möglichkeiten das Log (Report) zum kopieren Danke für die schnelle Antwort |
|
09.01.2013, 03:52
| #4 |
| | exploit.drop.gsa eingefangen Sorry. Log gefunden |
|
09.01.2013, 16:42
| #5 | |
| /// Malware-holic | exploit.drop.gsa eingefangen Hi, combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
09.01.2013, 19:44
| #6 |
| | exploit.drop.gsa eingefangen Combofix Logfile: Code:
ATTFilter ComboFix 13-01-08.01 - stoppage 09.01.2013 19:15:10.1.2 - x86
ausgeführt von:: c:\users\stoppage\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\ntuser.dat
c:\users\stoppage\AppData\Roaming\inst.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-12-09 bis 2013-01-09 ))))))))))))))))))))))))))))))
.
.
2013-01-09 18:20 . 2013-01-09 18:26 -------- d-----w- c:\users\stoppage\AppData\Local\temp
2013-01-07 05:09 . 2013-01-07 05:09 -------- d-----w- c:\program files\Avidemux 2.5
2013-01-07 03:00 . 2013-01-04 21:00 112640 ----a-w- c:\windows\system32\ff_vfw.dll
2013-01-07 02:59 . 2013-01-07 03:00 -------- d-----w- c:\program files\ffdshow
2012-12-29 12:51 . 2012-11-19 00:04 6812136 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{688EDEDB-3E0F-401B-AA9F-95BF4878F498}\mpengine.dll
2012-12-27 14:09 . 2012-12-27 14:09 -------- d-----w- c:\users\stoppage\AppData\Local\Apps
2012-12-25 11:59 . 2003-06-18 16:31 18944 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2012-12-25 11:59 . 2003-06-18 16:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2012-12-25 11:58 . 2012-12-25 11:58 -------- d-----w- c:\windows\PCHEALTH
2012-12-25 11:58 . 2012-12-25 11:58 -------- d-----w- c:\program files\Microsoft.NET
2012-12-24 23:07 . 2012-12-24 23:07 2965 ----a-w- c:\programdata\dsgsdgdsgdsgw.js
2012-12-22 12:37 . 2012-12-16 14:13 295424 ----a-w- c:\windows\system32\atmfd.dll
2012-12-22 12:37 . 2012-12-16 14:13 34304 ----a-w- c:\windows\system32\atmlib.dll
2012-12-22 00:59 . 2012-12-22 00:59 -------- d-----w- c:\program files\Xvid
2012-12-22 00:59 . 2011-06-24 14:58 153088 ----a-w- c:\windows\system32\xvid.ax
2012-12-21 23:10 . 2012-12-21 23:10 -------- d-----w- c:\program files\PriceGong
2012-12-21 23:09 . 2012-12-21 23:09 -------- d-----w- c:\users\stoppage\AppData\Local\Wajam
2012-12-21 23:08 . 2012-12-21 23:12 -------- d-----w- c:\programdata\SweetIM
2012-12-21 23:08 . 2012-12-21 23:12 -------- d-----w- c:\program files\SweetIM
2012-12-21 22:51 . 2011-06-24 15:44 243200 ----a-w- c:\windows\system32\xvidvfw.dll
2012-12-21 22:51 . 2011-06-24 15:28 650752 ----a-w- c:\windows\system32\xvidcore.dll
2012-12-21 18:42 . 2012-12-21 18:42 -------- d-----w- c:\users\stoppage\AppData\Roaming\TuneUp Software
2012-12-21 18:42 . 2012-12-21 18:42 -------- d-----w- c:\program files\TuneUp Utilities
2012-12-21 16:36 . 2012-12-21 16:53 -------- d-----w- c:\users\stoppage\AppData\Roaming\ImgBurn
2012-12-20 18:04 . 2012-12-20 18:05 -------- d-----w- c:\program files\VirtDub
2012-12-15 18:15 . 2012-12-26 15:52 -------- d-----w- c:\users\stoppage\AppData\Roaming\skypePM
2012-12-15 18:09 . 2012-12-26 15:56 -------- d-----w- c:\users\stoppage\AppData\Roaming\Skype
2012-12-15 18:09 . 2012-12-15 18:09 -------- d-----w- c:\program files\Skype
2012-12-15 18:09 . 2012-12-15 18:09 -------- d-----w- c:\program files\Common Files\Skype
2012-12-15 18:09 . 2012-12-15 18:09 -------- d-----w- c:\programdata\Skype
2012-12-15 17:22 . 2012-11-09 04:42 2048 ----a-w- c:\windows\system32\tzres.dll
2012-12-13 23:33 . 2012-12-20 10:22 -------- d-----w- c:\users\stoppage\AppData\Roaming\gtk-2.0
2012-12-13 23:33 . 2012-12-20 10:19 -------- d-----w- c:\users\stoppage\.thumbnails
2012-12-13 23:28 . 2012-12-20 11:53 -------- d-----w- c:\users\stoppage\.gimp-2.6
2012-12-13 23:28 . 2012-12-13 23:28 -------- d-----w- c:\users\stoppage\.gegl-0.0
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-09 18:25 . 2012-11-29 02:35 17488 ----a-w- c:\windows\gdrv.sys
2013-01-09 17:13 . 2012-11-29 02:36 24944 ----a-w- c:\windows\system32\drivers\GVTDrv.sys
2012-12-16 16:07 . 2012-12-02 04:38 6688 ----a-w- c:\windows\movexe.exe
2012-12-07 17:23 . 2012-12-07 17:23 93672 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2012-12-07 17:23 . 2012-12-07 17:23 821736 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-12-07 17:23 . 2012-12-07 17:23 746984 ----a-w- c:\windows\system32\deployJava1.dll
2012-12-04 19:39 . 2012-12-04 19:36 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2012-12-04 19:39 . 2012-12-04 19:36 47360 ----a-w- c:\users\stoppage\AppData\Roaming\pcouffin.sys
2012-12-04 14:07 . 2012-12-04 14:07 53248 ----a-r- c:\users\stoppage\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2012-12-02 13:33 . 2009-07-14 02:05 152576 ----a-w- c:\windows\system32\msclmd.dll
2012-11-30 19:32 . 2012-11-30 19:32 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-11-30 19:32 . 2012-11-30 19:32 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-11-30 06:56 . 2008-09-30 18:35 65536 ----a-w- c:\windows\system32\camcodec.dll
2012-11-29 06:25 . 2012-11-29 06:25 86528 ----a-w- c:\windows\system32\iesysprep.dll
2012-11-29 06:25 . 2012-11-29 06:25 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2012-11-29 06:25 . 2012-11-29 06:25 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2012-11-29 06:25 . 2012-11-29 06:25 74752 ----a-w- c:\windows\system32\iesetup.dll
2012-11-29 06:25 . 2012-11-29 06:25 63488 ----a-w- c:\windows\system32\tdc.ocx
2012-11-29 06:25 . 2012-11-29 06:25 48640 ----a-w- c:\windows\system32\mshtmler.dll
2012-11-29 06:25 . 2012-11-29 06:25 367104 ----a-w- c:\windows\system32\html.iec
2012-11-29 06:25 . 2012-11-29 06:25 35840 ----a-w- c:\windows\system32\imgutil.dll
2012-11-29 06:25 . 2012-11-29 06:25 23552 ----a-w- c:\windows\system32\licmgr10.dll
2012-11-29 06:25 . 2012-11-29 06:25 161792 ----a-w- c:\windows\system32\msls31.dll
2012-11-29 06:25 . 2012-11-29 06:25 152064 ----a-w- c:\windows\system32\wextract.exe
2012-11-29 06:25 . 2012-11-29 06:25 150528 ----a-w- c:\windows\system32\iexpress.exe
2012-11-29 06:25 . 2012-11-29 06:25 11776 ----a-w- c:\windows\system32\mshta.exe
2012-11-29 06:25 . 2012-11-29 06:25 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2012-11-29 06:25 . 2012-11-29 06:25 101888 ----a-w- c:\windows\system32\admparse.dll
2012-11-15 01:36 . 2012-11-15 01:36 35592 ----a-w- c:\windows\system32\drivers\taphss6.sys
2012-11-15 01:29 . 2012-11-15 01:29 35592 ----a-w- c:\windows\system32\drivers\hssdrv6.sys
2012-10-30 22:51 . 2012-11-29 12:56 361032 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-10-30 22:51 . 2012-11-29 12:56 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-10-30 22:51 . 2012-11-29 12:56 738504 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-10-30 22:51 . 2012-11-29 12:56 58680 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2012-10-30 22:51 . 2012-11-29 12:56 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-10-30 22:51 . 2012-11-29 12:56 41224 ----a-w- c:\windows\avastSS.scr
2012-10-30 22:50 . 2012-11-29 12:56 227648 ----a-w- c:\windows\system32\aswBoot.exe
2012-10-15 16:59 . 2012-11-29 12:56 44784 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0F3DC9E0-C459-4a40-BCF8-747BD9322E10}"= "c:\program files\Splashtop\Splashtop Connect IE\AddressBarSearch.dll" [2011-03-04 165776]
.
[HKEY_CLASSES_ROOT\clsid\{0f3dc9e0-c459-4a40-bcf8-747bd9322e10}]
[HKEY_CLASSES_ROOT\AddressBarSearch.SearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{4E8E0178-00EF-413d-9324-E7B3E31572E3}]
[HKEY_CLASSES_ROOT\AddressBarSearch.SearchHook]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STCAgent"="c:\program files\Splashtop\Splashtop Connect IE\STCAgent.exe" [2011-03-04 776064]
"ZyngaGamesAgent"="c:\program files\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe" [2010-11-15 841544]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-01-12 144152]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-01-12 179992]
"Persistence"="c:\windows\system32\igfxpers.exe" [2012-01-12 188184]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2012-01-16 10959464]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-18 1848648]
"LWS"="c:\program files\Logitech\LWS\Webcam Software\LWS.exe" [2011-11-11 205336]
"Openwares LiveUpdate"="c:\program files\LiveUpdate\LiveUpdate.exe" [2003-12-13 61440]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
c:\users\Tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.4.1.lnk - d:\programme\OpenOffice\program\quickstart.exe [2012-8-13 1199104]
.
c:\users\stoppage\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech . Produktregistrierung.lnk - c:\program files\Logitech\Ereg\eReg.exe [2009-11-16 517384]
OpenOffice.org 3.4.1.lnk - d:\programme\OpenOffice\program\quickstart.exe [2012-8-13 1199104]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sweetpacks Communicator]
2012-08-15 18:08 231768 ----a-w- c:\program files\SweetIM\Communicator\SweetPacksUpdateManager.exe
.
R3 AppleChargerSrv;AppleChargerSrv;c:\windows\system32\AppleChargerSrv.exe [x]
R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 SureThing Labelflash service;SureThing Labelflash service;c:\program files\Common Files\SureThing Shared\stllssvr.exe [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 taphss6;Anchorfree HSS VPN Adapter;c:\windows\system32\DRIVERS\taphss6.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S1 AppleCharger;AppleCharger;c:\windows\system32\DRIVERS\AppleCharger.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 HssDRV6;Hotspot Shield Routing Driver 6;c:\windows\system32\DRIVERS\hssdrv6.sys [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 IB Updater;IB Updater;c:\program files\IB Updater\ExtensionUpdaterService.exe [x]
S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:\program files\Intel\iCLS Client\HeciServer.exe [x]
S2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:\program files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [x]
S2 SCBackService;Splashtop Connect Service;c:\program files\Splashtop\Splashtop Connect\BackService.exe [x]
S2 UMVPFSrv;UMVPFSrv;c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [x]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]
S2 WCUService_STC_FF;Splashtop Connect Firefox Software Updater Service;c:\program files\Splashtop\Splashtop Connect Firefox Software Updater\WCUService.exe [x]
S2 WCUService_STC_IE;Splashtop Connect IE Software Updater Service;c:\program files\Splashtop\Splashtop Connect IE Software Updater\WCUService.exe [x]
S3 EtronHub3;Etron USB 3.0 Extensible Hub Driver;c:\windows\system32\Drivers\EtronHub3.sys [x]
S3 EtronXHCI;Etron USB 3.0 Extensible Host Controller Driver;c:\windows\system32\Drivers\EtronXHCI.sys [x]
S3 ICCS;Intel(R) Integrated Clock Controller Service - Intel(R) ICCS;c:\program files\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MEI;Intel(R) Management Engine Interface ;c:\windows\system32\DRIVERS\HECI.sys [x]
S3 pcouffin;VSO Software pcouffin;c:\windows\system32\Drivers\pcouffin.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://mystart.incredibar.com/mb185?a=6OyVJvAqLY&i=26
IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{47F1BAEA-EC91-40B2-A946-934EC00A5BB1}: NameServer = 192.168.1.1
TCP: Interfaces\{E908FCC5-355D-4ACB-81DE-EC58E6175CF4}: NameServer = 213.191.74.19 62.109.123.197
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\unsecapp.exe
d:\programme\OpenOffice\program\soffice.exe
d:\programme\OpenOffice\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-09 19:29:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-01-09 18:29
.
Vor Suchlauf: 16 Verzeichnis(se), 17.169.211.392 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 17.449.988.096 Bytes frei
.
- - End Of File - - 23267D6D8DDA77912A97C415EAE7864D
|
|
09.01.2013, 19:53
| #7 |
| /// Malware-holic | exploit.drop.gsa eingefangen hi malwarebytes: Downloade Dir bitte Malwarebytes
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
09.01.2013, 21:27
| #8 |
| | exploit.drop.gsa eingefangen Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Database version: v2013.01.09.08 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 stoppage :: GIGABYTE [administrator] 09.01.2013 20:07:32 mbam-log-2013-01-09 (20-07-32).txt Scan type: Full scan (C:\|) Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 374841 Time elapsed: 50 minute(s), 11 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 1 C:\Users\stoppage\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\1ede2ede-61095d99 (Trojan.FakeMS) -> Quarantined and deleted successfully. (end) Meldung “Dienst Windows Sicherheitscenter aktivieren“ kommt nicht mehr und der Sicherheitscenter startet. Statt diesen, meldet Wartungscenter das ich habe kein Antiviren Programm obwohl „Avast“ läuft wie normal |
|
10.01.2013, 16:04
| #9 |
| /// Malware-holic | exploit.drop.gsa eingefangen Hi, de und reaktiviere Avast mal lade den CCleaner standard: CCleaner - Download - Filepony falls der CCleaner bereits instaliert, überspringen. öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
10.01.2013, 20:01
| #10 |
| | exploit.drop.gsa eingefangen Panik! Ich muss das mit Wartungscenter und Avast momentan zur Seite lassen, mein Word Dokuments öffnen nicht richtig! Es kommt die Meldung ….“ist keine zulässige 32-Bit Anwendung“. Wann ich das Programme WinWord öffne kann ich das Dokument importieren ohne Problem; aber von „öffnen mit/Standardprogramme/Durchsuchung“ kommt „WinWord“ nicht. Ich habe Office mehrmals neu installiert. „Systemsreurung/Programme/Standardprogramme“ scheint in Ordnung zu sein. Hilfe bitte! Code:
ATTFilter @BIOS notwendig
Adobe Flash Player 11 Plugin notwendig
Adobe Reader XI notwendig
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Drive notwendigr
AutoGreen B10.1021.1 notwendig
avast! Free Antivirus notwendig
Avidemux 2.5 (32-bit) notwendig
CameraHelperMsi notwendig
CamStudio notwendig
CamStudio Lossless Codec notwendig
Canon iP4600 series Benutzerregistrierung notwendig
Canon iP4600 series Printer Driver notwendig
Canon Utilities Easy-PhotoP rint EX notwendig
Canon Utilities My Printer notwendig
Canon Utilities Solution Menu notwendig
CD-LabelPrint notwendig
ConvertXtoDVD 2.2.2.256 notwendig
DScaler 5 Mpeg Decoders notwendig
Easy Tune 6 B12.0328.1 unnötig
erLT notwendig
Etron USB3.0 Host Controller notwendig
IB Updater 2.0.0.530 notwendig
IB Updater Service notwendig
Inkjet Printer/Scanner Extended Survey Program unnötig
Intel(R) Management Engine Components notwendig
Intel(R) OpenCL CPU Runtime notwendig
Intel(R) Processor Graphics notwendig
Intel® Trusted Connect Service Client notwendig
Internet Explorer Toolbar 4.6 by SweetPacks unnötig
Java 7 Update 9 notwendig
Java Auto Updater notwendig
K-Lite Codec Pack 9.6.0 (Standard) notwendig
Logitech Webcam Software notwendig
LTOOLS notwendig
LWS Facebook notwendig
LWS Gallery notwendig
LWS Help_main notwendig
LWS Launcher notwendig
LWS Motion Detection notwendig
LWS Pictures And Video notwendig
LWS Twitter notwendig
LWS Video Mask Maker notwendig
LWS VideoEffects notwendig
LWS Webcam Software notwendig
LWS WLM Plugin notwendig
LWS YouTube Plugin notwendig
Microsoft Office Professional Edition 2003 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 notwendig
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 notwendig
ON_OFF Charge B11.0110.1 notwendig
OpenOffice.org 3.4.1 notwendig
Realtek High Definition Audio Driver notwendig
Skype™ 3.6 notwendig
Splashtop Connect for Firefox unnötig
Splashtop Connect IE unnötig
SureThing CD Labeler Deluxe 5 notwendig
TuneUp Utilities 2003 notwendig
Update Manager for SweetPacks 1.1 unnötig
VLC media player 2.0.1 notwendig
Xvid Video Codec notwendig
|
|
11.01.2013, 18:49
| #11 |
| /// Malware-holic | exploit.drop.gsa eingefangen deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden, instalieren. adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: Easy Tune Inkjet Internet Explorer Toolbar Java : alle downloade Java jre: Java-Downloads für alle Betriebssysteme klicke: Download der Java-Software für Windows Offline laden, und instalieren Skype™ Installieren Sie Skype kostenlos für Anrufe, Videoanrufe und IM aktuell ist version 6 deinstaliere: Splashtop alle TuneUp : verzichte auf solchen Unsinn, bringt nichts, und einige Funktionen schaden dem pc Update Manager Öffne CCleaner, analysieren, starten, pc neustarten. Wenn office immernoch nicht funktioniert, de und reinstaliere es mal. Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
11.01.2013, 22:04
| #12 |
| | exploit.drop.gsa eingefangen Alles gemacht....Word Problem bleibt unverändert!" Code:
ATTFilter # AdwCleaner v2.105 - Datei am 11/01/2013 um 21:57:01 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (32 bits)
# Benutzer : stoppage - GIGABYTE
# Bootmodus : Normal
# Ausgeführt unter : D:\Programme\adwcleaner.exe
# Option [Suche]
**** [Dienste] ****
Gefunden : IB Updater
***** [Dateien / Ordner] *****
Datei Gefunden : C:\user.js
Datei Gefunden : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\searchplugins\SweetIm.xml
Datei Gefunden : C:\Windows\system32\ImhxxpComm.dll
Ordner Gefunden : C:\Program Files\IB Updater
Ordner Gefunden : C:\Users\stoppage\AppData\Local\Wajam
Ordner Gefunden : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
Ordner Gefunden : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\SweetPacksToolbarData
Ordner Gefunden : C:\Windows\system32\WNLT
***** [Registrierungsdatenbank] *****
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gefunden : HKCU\Software\IM
Schlüssel Gefunden : HKCU\Software\ImInstaller
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0E5680D1-BF44-4929-94AF-FD30D784AD1D}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E5680D1-BF44-4929-94AF-FD30D784AD1D}
Schlüssel Gefunden : HKCU\Software\SweetIM
Schlüssel Gefunden : HKCU\Software\WNLT
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\Extension.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gefunden : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Schlüssel Gefunden : HKLM\Software\IB Updater
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WNLT
Schlüssel Gefunden : HKLM\Software\SweetIM
Schlüssel Gefunden : HKLM\Software\WNLT
Schlüssel Gefunden : HKU\S-1-5-21-376218753-2448307086-2853584291-1000\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Wert Gefunden : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]
***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16457
[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://mystart.incredibar.com/mb185?a=6OyVJvAqLY&i=26
-\\ Mozilla Firefox v [Version kann nicht ermittelt werden]
Datei : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\prefs.js
Gefunden : user_pref("extensions.incredibar.actvtyRptTime", "1357700504843");
Gefunden : user_pref("extensions.incredibar.admin", false);
Gefunden : user_pref("extensions.incredibar.aflt", "orgnl");
Gefunden : user_pref("extensions.incredibar.afterInstallRpt", "sent");
Gefunden : user_pref("extensions.incredibar.cntry", "DE");
Gefunden : user_pref("extensions.incredibar.dfltLng", "EN");
Gefunden : user_pref("extensions.incredibar.dfltSrch", false);
Gefunden : user_pref("extensions.incredibar.dfltlng", "EN");
Gefunden : user_pref("extensions.incredibar.dfltsrch", "false");
Gefunden : user_pref("extensions.incredibar.did", "10678");
Gefunden : user_pref("extensions.incredibar.envrmnt", "production");
Gefunden : user_pref("extensions.incredibar.excTlbr", false);
Gefunden : user_pref("extensions.incredibar.hdrMd5", "C96CB859CA3ABF43C90C8E7293A7C3F8");
Gefunden : user_pref("extensions.incredibar.hmpg", false);
Gefunden : user_pref("extensions.incredibar.hrdid", "5efadc19000000000000902b34824687");
Gefunden : user_pref("extensions.incredibar.id", "5efadc19000000000000902b34824687");
Gefunden : user_pref("extensions.incredibar.installerproductid", "26");
Gefunden : user_pref("extensions.incredibar.instlDay", "15674");
Gefunden : user_pref("extensions.incredibar.instlRef", "");
Gefunden : user_pref("extensions.incredibar.instlday", "15674");
Gefunden : user_pref("extensions.incredibar.instlref", "");
Gefunden : user_pref("extensions.incredibar.isDcmntCmplt", false);
Gefunden : user_pref("extensions.incredibar.isdcmntcmplt", "false");
Gefunden : user_pref("extensions.incredibar.keywordurl", "");
Gefunden : user_pref("extensions.incredibar.lastVrsnTs", "1.5.11.145:27:30");
Gefunden : user_pref("extensions.incredibar.mntrvrsn", "1.2.0");
Gefunden : user_pref("extensions.incredibar.newTab", false);
Gefunden : user_pref("extensions.incredibar.newtab", "false");
Gefunden : user_pref("extensions.incredibar.newtaburl", "");
Gefunden : user_pref("extensions.incredibar.noFFXTlbr", false);
Gefunden : user_pref("extensions.incredibar.ppd", "111");
Gefunden : user_pref("extensions.incredibar.prdct", "incredibar");
Gefunden : user_pref("extensions.incredibar.productid", "26");
Gefunden : user_pref("extensions.incredibar.prtnrId", "Incredibar");
Gefunden : user_pref("extensions.incredibar.prtnrid", "Incredibar");
Gefunden : user_pref("extensions.incredibar.sg", "none");
Gefunden : user_pref("extensions.incredibar.smplGrp", "none");
Gefunden : user_pref("extensions.incredibar.smplgrp", "none");
Gefunden : user_pref("extensions.incredibar.srch", "");
Gefunden : user_pref("extensions.incredibar.srchprvdr", "");
Gefunden : user_pref("extensions.incredibar.tlbrId", "base");
Gefunden : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB_T[...]
Gefunden : user_pref("extensions.incredibar.tlbrid", "base");
Gefunden : user_pref("extensions.incredibar.tlbrsrchurl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB_T[...]
Gefunden : user_pref("extensions.incredibar.upn2", "6OyVJvAqLY");
Gefunden : user_pref("extensions.incredibar.upn2n", "92262538759592054");
Gefunden : user_pref("extensions.incredibar.vrsn", "1.5.11.14");
Gefunden : user_pref("extensions.incredibar.vrsnTs", "1.5.11.145:27:30");
Gefunden : user_pref("extensions.incredibar.vrsni", "1.5.11.14");
Gefunden : user_pref("extensions.incredibar.vrsnts", "1.5.11.145:27:30");
Gefunden : user_pref("extensions.incredibar_i.aflt", "orgnl");
Gefunden : user_pref("extensions.incredibar_i.dfltLng", "");
Gefunden : user_pref("extensions.incredibar_i.did", "10678");
Gefunden : user_pref("extensions.incredibar_i.excTlbr", false);
Gefunden : user_pref("extensions.incredibar_i.id", "5efadc19000000000000902b34824687");
Gefunden : user_pref("extensions.incredibar_i.installerproductid", "26");
Gefunden : user_pref("extensions.incredibar_i.instlDay", "15674");
Gefunden : user_pref("extensions.incredibar_i.instlRef", "");
Gefunden : user_pref("extensions.incredibar_i.ms_url_id", "");
Gefunden : user_pref("extensions.incredibar_i.newTab", false);
Gefunden : user_pref("extensions.incredibar_i.ppd", "111");
Gefunden : user_pref("extensions.incredibar_i.prdct", "incredibar");
Gefunden : user_pref("extensions.incredibar_i.productid", "26");
Gefunden : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Gefunden : user_pref("extensions.incredibar_i.smplGrp", "none");
Gefunden : user_pref("extensions.incredibar_i.tlbrId", "base");
Gefunden : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB[...]
Gefunden : user_pref("extensions.incredibar_i.upn2", "6OyVJvAqLY");
Gefunden : user_pref("extensions.incredibar_i.upn2n", "92262538759592054");
Gefunden : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Gefunden : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.145:27:30");
Gefunden : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");
Gefunden : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Gefunden : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0");
Gefunden : user_pref("sweetim.toolbar.Visibility.enable", "true");
Gefunden : user_pref("sweetim.toolbar.Visibility.intervaldays", "7");
Gefunden : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true");
Gefunden : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true");
Gefunden : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-h[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.0.height", "335");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff_1_6.ht[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.0.width", "761");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-h[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.1.height", "300");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html"[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.1.width", "500");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handl[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.2.height", "150");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.width", "530");
Gefunden : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.goog[...]
Gefunden : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Gefunden : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Gefunden : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Gefunden : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Gefunden : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Gefunden : user_pref("sweetim.toolbar.mode.debug", "false");
Gefunden : user_pref("sweetim.toolbar.previous.keyword.URL", "chrome://browser-region/locale/region.properties"[...]
Gefunden : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true");
Gefunden : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");
Gefunden : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");
Gefunden : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");
Gefunden : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");
Gefunden : user_pref("sweetim.toolbar.scripts.0.enable", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");
Gefunden : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");
Gefunden : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true");
Gefunden : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");
Gefunden : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Gefunden : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");
Gefunden : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");
Gefunden : user_pref("sweetim.toolbar.scripts.1.enable", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");
Gefunden : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");
Gefunden : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.2.callback", "");
Gefunden : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..[...]
Gefunden : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");
Gefunden : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");
Gefunden : user_pref("sweetim.toolbar.scripts.2.enable", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");
Gefunden : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?[...]
Gefunden : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]
Gefunden : user_pref("sweetim.toolbar.search.history.capacity", "10");
Gefunden : user_pref("sweetim.toolbar.searchguard.enable", "false");
Gefunden : user_pref("sweetim.toolbar.searchguard.initialized_by_rc", "true");
Gefunden : user_pref("sweetim.toolbar.simapp_id", "{578B50CC-4BC3-11E2-984D-00E0530E7245}");
Gefunden : user_pref("sweetim.toolbar.version", "1.6.0.3");
-\\ Google Chrome v [Version kann nicht ermittelt werden]
Datei : C:\Users\stoppage\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [14577 octets] - [11/01/2013 21:57:01]
########## EOF - C:\AdwCleaner[R1].txt - [14638 octets] ##########
|
|
11.01.2013, 22:10
| #13 |
| /// Malware-holic | exploit.drop.gsa eingefangen Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
11.01.2013, 23:00
| #14 |
| | exploit.drop.gsa eingefangen Ja ich habe Office de und reinstalliert Code:
ATTFilter # AdwCleaner v2.105 - Datei am 11/01/2013 um 22:42:28 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (32 bits)
# Benutzer : stoppage - GIGABYTE
# Bootmodus : Normal
# Ausgeführt unter : D:\Programme\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
Gestoppt & Gelöscht : IB Updater
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\user.js
Datei Gelöscht : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\searchplugins\SweetIm.xml
Datei Gelöscht : C:\Windows\system32\ImhxxpComm.dll
Ordner Gelöscht : C:\Program Files\IB Updater
Ordner Gelöscht : C:\Users\stoppage\AppData\Local\Wajam
Ordner Gelöscht : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
Ordner Gelöscht : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\SweetPacksToolbarData
Ordner Gelöscht : C:\Windows\system32\WNLT
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\IM
Schlüssel Gelöscht : HKCU\Software\ImInstaller
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0E5680D1-BF44-4929-94AF-FD30D784AD1D}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E5680D1-BF44-4929-94AF-FD30D784AD1D}
Schlüssel Gelöscht : HKCU\Software\SweetIM
Schlüssel Gelöscht : HKCU\Software\WNLT
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\Extension.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Schlüssel Gelöscht : HKLM\Software\IB Updater
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WNLT
Schlüssel Gelöscht : HKLM\Software\SweetIM
Schlüssel Gelöscht : HKLM\Software\WNLT
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]
***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16457
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://mystart.incredibar.com/mb185?a=6OyVJvAqLY&i=26 --> hxxp://www.google.com
-\\ Mozilla Firefox v [Version kann nicht ermittelt werden]
Datei : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\prefs.js
C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\user.js ... Gelöscht !
Gelöscht : user_pref("extensions.incredibar.actvtyRptTime", "1357700504843");
Gelöscht : user_pref("extensions.incredibar.admin", false);
Gelöscht : user_pref("extensions.incredibar.aflt", "orgnl");
Gelöscht : user_pref("extensions.incredibar.afterInstallRpt", "sent");
Gelöscht : user_pref("extensions.incredibar.cntry", "DE");
Gelöscht : user_pref("extensions.incredibar.dfltLng", "EN");
Gelöscht : user_pref("extensions.incredibar.dfltSrch", false);
Gelöscht : user_pref("extensions.incredibar.dfltlng", "EN");
Gelöscht : user_pref("extensions.incredibar.dfltsrch", "false");
Gelöscht : user_pref("extensions.incredibar.did", "10678");
Gelöscht : user_pref("extensions.incredibar.envrmnt", "production");
Gelöscht : user_pref("extensions.incredibar.excTlbr", false);
Gelöscht : user_pref("extensions.incredibar.hdrMd5", "C96CB859CA3ABF43C90C8E7293A7C3F8");
Gelöscht : user_pref("extensions.incredibar.hmpg", false);
Gelöscht : user_pref("extensions.incredibar.hrdid", "5efadc19000000000000902b34824687");
Gelöscht : user_pref("extensions.incredibar.id", "5efadc19000000000000902b34824687");
Gelöscht : user_pref("extensions.incredibar.installerproductid", "26");
Gelöscht : user_pref("extensions.incredibar.instlDay", "15674");
Gelöscht : user_pref("extensions.incredibar.instlRef", "");
Gelöscht : user_pref("extensions.incredibar.instlday", "15674");
Gelöscht : user_pref("extensions.incredibar.instlref", "");
Gelöscht : user_pref("extensions.incredibar.isDcmntCmplt", false);
Gelöscht : user_pref("extensions.incredibar.isdcmntcmplt", "false");
Gelöscht : user_pref("extensions.incredibar.keywordurl", "");
Gelöscht : user_pref("extensions.incredibar.lastVrsnTs", "1.5.11.145:27:30");
Gelöscht : user_pref("extensions.incredibar.mntrvrsn", "1.2.0");
Gelöscht : user_pref("extensions.incredibar.newTab", false);
Gelöscht : user_pref("extensions.incredibar.newtab", "false");
Gelöscht : user_pref("extensions.incredibar.newtaburl", "");
Gelöscht : user_pref("extensions.incredibar.noFFXTlbr", false);
Gelöscht : user_pref("extensions.incredibar.ppd", "111");
Gelöscht : user_pref("extensions.incredibar.prdct", "incredibar");
Gelöscht : user_pref("extensions.incredibar.productid", "26");
Gelöscht : user_pref("extensions.incredibar.prtnrId", "Incredibar");
Gelöscht : user_pref("extensions.incredibar.prtnrid", "Incredibar");
Gelöscht : user_pref("extensions.incredibar.sg", "none");
Gelöscht : user_pref("extensions.incredibar.smplGrp", "none");
Gelöscht : user_pref("extensions.incredibar.smplgrp", "none");
Gelöscht : user_pref("extensions.incredibar.srch", "");
Gelöscht : user_pref("extensions.incredibar.srchprvdr", "");
Gelöscht : user_pref("extensions.incredibar.tlbrId", "base");
Gelöscht : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB_T[...]
Gelöscht : user_pref("extensions.incredibar.tlbrid", "base");
Gelöscht : user_pref("extensions.incredibar.tlbrsrchurl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB_T[...]
Gelöscht : user_pref("extensions.incredibar.upn2", "6OyVJvAqLY");
Gelöscht : user_pref("extensions.incredibar.upn2n", "92262538759592054");
Gelöscht : user_pref("extensions.incredibar.vrsn", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar.vrsnTs", "1.5.11.145:27:30");
Gelöscht : user_pref("extensions.incredibar.vrsni", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar.vrsnts", "1.5.11.145:27:30");
Gelöscht : user_pref("extensions.incredibar_i.aflt", "orgnl");
Gelöscht : user_pref("extensions.incredibar_i.dfltLng", "");
Gelöscht : user_pref("extensions.incredibar_i.did", "10678");
Gelöscht : user_pref("extensions.incredibar_i.excTlbr", false);
Gelöscht : user_pref("extensions.incredibar_i.id", "5efadc19000000000000902b34824687");
Gelöscht : user_pref("extensions.incredibar_i.installerproductid", "26");
Gelöscht : user_pref("extensions.incredibar_i.instlDay", "15674");
Gelöscht : user_pref("extensions.incredibar_i.instlRef", "");
Gelöscht : user_pref("extensions.incredibar_i.ms_url_id", "");
Gelöscht : user_pref("extensions.incredibar_i.newTab", false);
Gelöscht : user_pref("extensions.incredibar_i.ppd", "111");
Gelöscht : user_pref("extensions.incredibar_i.prdct", "incredibar");
Gelöscht : user_pref("extensions.incredibar_i.productid", "26");
Gelöscht : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Gelöscht : user_pref("extensions.incredibar_i.smplGrp", "none");
Gelöscht : user_pref("extensions.incredibar_i.tlbrId", "base");
Gelöscht : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB[...]
Gelöscht : user_pref("extensions.incredibar_i.upn2", "6OyVJvAqLY");
Gelöscht : user_pref("extensions.incredibar_i.upn2n", "92262538759592054");
Gelöscht : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.145:27:30");
Gelöscht : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");
Gelöscht : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Gelöscht : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0");
Gelöscht : user_pref("sweetim.toolbar.Visibility.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.Visibility.intervaldays", "7");
Gelöscht : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-h[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.height", "335");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff_1_6.ht[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.width", "761");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-h[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.height", "300");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html"[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.width", "500");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handl[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.height", "150");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.width", "530");
Gelöscht : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.goog[...]
Gelöscht : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Gelöscht : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Gelöscht : user_pref("sweetim.toolbar.mode.debug", "false");
Gelöscht : user_pref("sweetim.toolbar.previous.keyword.URL", "chrome://browser-region/locale/region.properties"[...]
Gelöscht : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.enable", "false");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.enable", "false");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.callback", "");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..[...]
Gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.enable", "false");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?[...]
Gelöscht : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]
Gelöscht : user_pref("sweetim.toolbar.search.history.capacity", "10");
Gelöscht : user_pref("sweetim.toolbar.searchguard.enable", "false");
Gelöscht : user_pref("sweetim.toolbar.searchguard.initialized_by_rc", "true");
Gelöscht : user_pref("sweetim.toolbar.simapp_id", "{578B50CC-4BC3-11E2-984D-00E0530E7245}");
Gelöscht : user_pref("sweetim.toolbar.version", "1.6.0.3");
-\\ Google Chrome v [Version kann nicht ermittelt werden]
Datei : C:\Users\stoppage\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [14708 octets] - [11/01/2013 21:57:01]
AdwCleaner[R2].txt - [14769 octets] - [11/01/2013 22:41:42]
AdwCleaner[S1].txt - [14689 octets] - [11/01/2013 22:42:28]
########## EOF - C:\AdwCleaner[S1].txt - [14750 octets] ##########
|
|
14.01.2013, 16:36
| #15 |
| /// Malware-holic | exploit.drop.gsa eingefangen versuch die deinstalation, falls office nicht läuft, zusätzlich mal mit dem fixit Deinstallieren oder Entfernen von Microsoft Office 2010-Suites und reinstaliere es danach
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu exploit.drop.gsa eingefangen |
| aktiviere, bootet, eingefangen, exploit.drop.gsa, gefangen, gefunde, gen, gmer, hoffe, logfiles, meldung, nichts, probleme, rechner, sicherheitscenter, sofort, starte, startet, verwaltungsinstrumentation, weiteres, windows |
Linear-Darstellung
