|
Log-Analyse und Auswertung: Groupon Virus/TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.03.2013, 09:17 | #16 | |
/// Helfer-Team | Groupon Virus/TrojanerZitat:
Du brauchst Internet um die Datenbanken der Programme zu aktualisieren. Internet immer angeschlossen lassen! Windows Repair Tool (AIO)
Letzten Schritt (MBAR) wiederholen!!!! |
16.03.2013, 12:09 | #17 |
| Groupon Virus/Trojaner Hier das Ergebniss vom "Tweaking tool": Code:
ATTFilter Starting Repairs... Start (16.03.2013 11:12:12) Register System Files Start (16.03.2013 11:12:13) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:15:29) Repair WMI Start (16.03.2013 11:15:29) Running Repair Under Current User Account Ungltiger globaler Parameter. Ungltiger globaler Parameter. Running Repair Under System Account Done (16.03.2013 11:16:28) Repair Windows Firewall Start (16.03.2013 11:16:28) Running Repair Under Current User Account Gemeinsame Nutzung der Internetverbindung ist nicht gestartet. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3521 eingeben. Gemeinsame Nutzung der Internetverbindung konnte nicht gestartet werden. Der Dienst hat keinen Fehler gemeldet. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3534 eingeben. Running Repair Under System Account Done (16.03.2013 11:16:45) Repair Internet Explorer Start (16.03.2013 11:16:45) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:16:52) Remove Policies Set By Infections Start (16.03.2013 11:16:52) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:16:57) Repair Winsock & DNS Cache Start (16.03.2013 11:16:57) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:17:03) Repair Proxy Settings Start (16.03.2013 11:17:03) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:17:08) Repair Windows Updates Start (16.03.2013 11:17:08) Running Repair Under Current User Account Windows Update ist nicht gestartet. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3521 eingeben. Das System kann die angegebene Datei nicht finden. Running Repair Under System Account Done (16.03.2013 11:18:05) Set Windows Services To Default Startup Start (16.03.2013 11:18:05) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:18:16) Cleaning up empty logs... All Selected Repairs Done. Done (16.03.2013 11:18:16) Total Repair Time: 00:06:04 ...YOU MUST RESTART YOUR SYSTEM... Running Repair Under System Account Starting Repairs... Start (16.03.2013 11:25:45) Register System Files Start (16.03.2013 11:25:45) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:26:18) Repair WMI Start (16.03.2013 11:26:18) Running Repair Under Current User Account Ungltiger globaler Parameter. Ungltiger globaler Parameter. Running Repair Under System Account Done (16.03.2013 11:27:23) Repair Windows Firewall Start (16.03.2013 11:27:23) Running Repair Under Current User Account Gemeinsame Nutzung der Internetverbindung ist nicht gestartet. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3521 eingeben. Gemeinsame Nutzung der Internetverbindung konnte nicht gestartet werden. Der Dienst hat keinen Fehler gemeldet. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3534 eingeben. Running Repair Under System Account Done (16.03.2013 11:27:42) Repair Internet Explorer Start (16.03.2013 11:27:42) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:27:51) Remove Policies Set By Infections Start (16.03.2013 11:27:51) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:27:58) Repair Winsock & DNS Cache Start (16.03.2013 11:27:58) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:28:09) Repair Proxy Settings Start (16.03.2013 11:28:09) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:28:14) Repair Windows Updates Start (16.03.2013 11:28:14) Running Repair Under Current User Account Windows Update ist nicht gestartet. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3521 eingeben. Das System kann die angegebene Datei nicht finden. Running Repair Under System Account Done (16.03.2013 11:28:29) Set Windows Services To Default Startup Start (16.03.2013 11:28:29) Running Repair Under Current User Account Running Repair Under System Account Done (16.03.2013 11:28:36) Cleaning up empty logs... All Selected Repairs Done. Done (16.03.2013 11:28:36) Total Repair Time: 00:02:51 ...YOU MUST RESTART YOUR SYSTEM... Running Repair Under System Account Es hat sich während des scan Prozesses vor jedem Schritt ein Fenster geöffnet, siehe erstes bild. Nach dem manuellen neustart habe ich es nochmal laufen lassen, in der hoffnung es startet den Rechner neu, aber auch da passierte nichts. Alles wie beim ersten mal. Anschließend habe ich dann den "mbar" nochmal durchlaufen lassen, dazu die nächsten 2 bilder. Update ging wieder nicht und auch der neustart funktionierte nicht. hier zum "Mbar" der Log: Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1021 www.malwarebytes.org Database version: v2013.02.15.09 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 **** :: ****-PC [administrator] 16.03.2013 11:52:15 mbar-log-2013-03-16 (11-52-15).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 31878 Time elapsed: 17 minute(s), 21 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) |
17.03.2013, 10:22 | #18 |
/// Helfer-Team | Groupon Virus/Trojaner AH, jetzt sehe ich wo das Problem ist.
__________________Deinstalliere diesen Unsinn von Zonealarm. Dann Neustarten und MBAR nchmal nach Update scannen.
__________________ |
17.03.2013, 11:29 | #19 |
| Groupon Virus/Trojaner Also, update funktionierte wieder nicht siehe bild. allerdings gibts schon mal besserungen hinsichtlich Internet zugang: in der symbolleiste rechts unten, ist nun bei eingestöpselter Leitung wieder die connektivität zu sehen und es wird mir auch "Internet zugang" angezeigt. Aber ich kann noch keine Seite laden. Hab den Scanner auch nochmal durchlaufen lassen: Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1021 www.malwarebytes.org Database version: v2013.02.15.09 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 **** :: ****-PC [administrator] 17.03.2013 11:18:32 mbar-log-2013-03-17 (11-18-32).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 31856 Time elapsed: 16 minute(s), 22 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) |
17.03.2013, 12:44 | #20 |
/// Helfer-Team | Groupon Virus/Trojaner So: Scan mit Combofix
|
17.03.2013, 13:34 | #21 |
| Groupon Virus/Trojaner hier der "Combofix" log: Code:
ATTFilter ComboFix 13-03-17.01 - **** 17.03.2013 13:10:14.1.4 - x64 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.4023.2608 [GMT 1:00] ausgeführt von:: c:\users\****\Desktop\ComboFix.exe . . ((((((((((((((((((((((( Dateien erstellt von 2013-02-17 bis 2013-03-17 )))))))))))))))))))))))))))))) . . 2013-03-17 12:17 . 2013-03-17 12:17 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp 2013-03-17 12:17 . 2013-03-17 12:17 -------- d-----w- c:\users\Default\AppData\Local\temp 2013-03-17 12:17 . 2013-03-17 12:17 -------- d-----w- c:\users\ADMINI~1\AppData\Local\temp 2013-03-17 09:28 . 2013-03-17 09:36 -------- d-----w- c:\windows\system32\catroot2 2013-03-16 10:16 . 2013-03-16 11:09 -------- d-----w- c:\windows\SysWow64\wbem\Performance 2013-03-16 10:09 . 2013-03-16 10:09 -------- d-----w- C:\RegBackup 2013-03-13 16:44 . 2013-03-13 16:44 -------- d-----w- C:\_OTL 2013-03-12 18:09 . 2013-03-12 18:09 -------- d-----w- c:\users\****\AppData\Roaming\Malwarebytes 2013-03-12 18:09 . 2013-03-12 18:09 -------- d-----w- c:\programdata\Malwarebytes 2013-03-12 18:09 . 2013-03-12 18:10 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2013-03-12 18:09 . 2012-12-14 15:49 24176 ----a-w- c:\windows\system32\drivers\mbam.sys 2013-03-12 18:08 . 2013-03-12 18:08 -------- d-----w- c:\users\****\AppData\Local\Programs 2013-03-10 20:14 . 2013-03-10 20:14 -------- d-----w- c:\users\****\AppData\Roaming\Avira 2013-03-10 20:08 . 2012-12-03 14:36 129216 ----a-w- c:\windows\system32\drivers\avipbb.sys 2013-03-10 20:08 . 2012-12-03 14:36 99912 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2013-03-10 20:08 . 2012-11-16 19:17 27800 ----a-w- c:\windows\system32\drivers\avkmgr.sys 2013-03-10 20:08 . 2013-03-10 20:09 -------- d-----w- c:\programdata\Avira 2013-03-10 20:08 . 2013-03-10 20:08 -------- d-----w- c:\program files (x86)\Avira 2013-03-10 19:13 . 2013-02-08 00:28 9162192 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{DBC671F6-597A-4BAB-8765-3FA2DCF8C522}\mpengine.dll 2013-03-07 20:46 . 2013-03-11 18:32 -------- d-----w- c:\users\****\AppData\Roaming\Nuhon 2013-03-07 20:03 . 2013-03-11 19:39 -------- d-----w- c:\users\****\Wptrrbfqc 2013-03-07 20:03 . 2013-03-11 19:39 -------- d-----w- c:\users\****\Puoc 2013-03-07 20:03 . 2013-03-11 19:39 -------- d-----w- c:\users\****\Phrzstpqerl 2013-03-02 16:07 . 2013-03-02 16:07 -------- d-----w- c:\users\****\AppData\Local\Macromedia 2013-03-02 16:07 . 2013-03-02 16:07 691568 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe 2013-02-18 19:07 . 2012-08-24 18:13 154480 ----a-w- c:\windows\system32\drivers\ksecpkg.sys 2013-02-18 19:07 . 2012-08-24 18:09 458712 ----a-w- c:\windows\system32\drivers\cng.sys 2013-02-18 19:07 . 2012-08-24 18:05 340992 ----a-w- c:\windows\system32\schannel.dll 2013-02-18 19:07 . 2012-08-24 18:03 1448448 ----a-w- c:\windows\system32\lsasrv.dll 2013-02-18 19:07 . 2012-08-24 16:57 247808 ----a-w- c:\windows\SysWow64\schannel.dll 2013-02-18 19:07 . 2012-08-24 16:57 22016 ----a-w- c:\windows\SysWow64\secur32.dll 2013-02-18 19:07 . 2012-08-24 16:53 96768 ----a-w- c:\windows\SysWow64\sspicli.dll 2013-02-18 19:07 . 2012-05-04 11:00 366592 ----a-w- c:\windows\system32\qdvd.dll 2013-02-18 19:07 . 2012-05-04 09:59 514560 ----a-w- c:\windows\SysWow64\qdvd.dll 2013-02-18 17:20 . 2013-01-05 05:53 5553512 ----a-w- c:\windows\system32\ntoskrnl.exe 2013-02-18 17:20 . 2013-01-05 05:00 3967848 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe 2013-02-18 17:20 . 2013-01-05 05:00 3913064 ----a-w- c:\windows\SysWow64\ntoskrnl.exe 2013-02-18 17:18 . 2013-01-04 05:46 215040 ----a-w- c:\windows\system32\winsrv.dll 2013-02-18 17:18 . 2013-01-04 02:47 25600 ----a-w- c:\windows\SysWow64\setup16.exe 2013-02-18 17:18 . 2013-01-04 02:47 14336 ----a-w- c:\windows\SysWow64\ntvdm64.dll 2013-02-18 17:18 . 2013-01-04 04:51 5120 ----a-w- c:\windows\SysWow64\wow32.dll 2013-02-18 17:18 . 2013-01-04 02:47 7680 ----a-w- c:\windows\SysWow64\instnm.exe 2013-02-18 17:18 . 2013-01-04 02:47 2048 ----a-w- c:\windows\SysWow64\user.exe 2013-02-18 17:18 . 2013-01-03 06:00 1913192 ----a-w- c:\windows\system32\drivers\tcpip.sys 2013-02-18 17:18 . 2013-01-03 06:00 288088 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS 2013-02-18 17:18 . 2012-12-26 05:47 1111040 ----a-w- c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll 2013-02-18 17:18 . 2012-12-26 04:49 760320 ----a-w- c:\program files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll 2013-02-15 22:04 . 2013-02-15 22:04 208448 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\nppdf32.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-03-02 16:07 . 2011-11-03 16:09 71024 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2013-02-18 19:19 . 2010-03-13 21:38 70004024 ----a-w- c:\windows\system32\MRT.exe 2013-01-17 00:28 . 2010-03-08 19:49 273840 ------w- c:\windows\system32\MpSigStub.exe 2013-01-04 04:43 . 2013-02-18 17:18 44032 ----a-w- c:\windows\apppatch\acwow64.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LightScribe Control Panel"="c:\program files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe" [2009-08-20 2363392] "HPADVISOR"="c:\program files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2009-09-29 1685048] "Steam"="c:\program files (x86)\Steam\Steam.exe" [2013-02-19 1597864] "ICQ"="c:\program files (x86)\ICQ7.0\ICQ.exe" [2011-01-05 133432] "OfficeSyncProcess"="c:\program files (x86)\Microsoft Office\Office14\MSOSYNC.EXE" [2012-01-20 719672] "TomTomHOME.exe"="c:\program files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" [2012-08-28 247768] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "Corel File Shell Monitor"="c:\program files (x86)\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe" [2009-08-25 15544] "HPCam_Menu"="c:\program files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504] "QlbCtrl.exe"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-08-20 322104] "Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2009-09-02 60464] "HP Software Update"="c:\program files (x86)\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576] "WirelessAssistant"="c:\program files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-07-23 498744] "SetPoint"="c:\program files (x86)\Logitech\Tastatur\SetPoint\KEM.EXE" [2004-07-15 581632] "BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520] "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696] "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2013-01-23 385248] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce] "Z1"="c:\users\****\Desktop\ mbar neu\mbar\mbar.exe" [2013-02-16 1363016] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Logitech Desktop Messenger.lnk - c:\program files (x86)\Logitech\Maus\Desktop Messenger\8876480\Program\LDMConf.exe [2010-3-4 169472] Logitech SetPoint.lnk - c:\program files (x86)\Logitech\Tastatur\SetPoint\KEM.exe [2010-3-4 581632] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) "HideFastUserSwitching"= 0 (0x0) . [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="userinit.exe" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" . R2 AntiVirWebService;Avira Browser-Schutz;c:\program files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [2013-01-14 565472] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2009-07-14 27136] R2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-12-14 398184] R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-12-14 682344] R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-13 160944] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-12-14 24176] R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368] R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2009-07-14 27136] R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 19456] R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [2009-06-10 292864] R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [2009-06-10 1485312] R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [2009-06-10 740864] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2012-08-23 57856] R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-06-10 389120] S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-11-16 27800] S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\AESTSr64.exe [2009-03-02 89600] S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2013-01-28 86752] S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2011-05-13 30520] S2 TomTomHOMEService;TomTomHOMEService;c:\program files (x86)\TomTom HOME 2\TomTomHOMEService.exe [2012-08-28 92632] S3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408] S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2009-06-29 70656] S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-13 151040] S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2009-07-21 140712] S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-10-03 258560] . . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost] nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper . HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs ezSharedSvc . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 2009-08-20 12:24 451872 ----a-w- c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe . Inhalt des "geplante Tasks" Ordners . 2013-03-17 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-02 16:07] . 2013-03-07 c:\windows\Tasks\HPCeeScheduleFor****.job - c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2009-10-07 03:22] . 2013-03-17 c:\windows\Tasks\MT66 Software Update.job - c:\program files (x86)\Common Files\MT66 Software Update\UpdateClient.exe [2010-07-09 16:44] . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2009-08-25 610872] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-09 171520] "SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-23 487424] . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm mLocal Page = c:\windows\SysWOW64\blank.htm IE: An OneNote s&enden - c:\progra~2\MICROS~4\Office14\ONBttnIE.dll/105 IE: Free YouTube to MP3 Converter - c:\users\****\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~4\Office14\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~4\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.178.1 FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\sngfqydl.default-1362944486578\ FF - ExtSQL: 2013-02-19 21:07; {10743931-94DF-476f-A987-4391233C17A2}; c:\program files (x86)\Mozilla Firefox\extensions\{10743931-94DF-476f-A987-4391233C17A2} FF - ExtSQL: 2013-02-19 21:07; {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}; c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} . - - - - Entfernte verwaiste Registrierungseinträge - - - - . Wow6432Node-HKLM-Run-<NO NAME> - (no file) HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe AddRemove-EasyBits Magic Desktop - c:\windows\system32\ezMDUninstall.exe AddRemove-Free Audio CD Burner_is1 - c:\program files (x86)\DVDVideoSoft\Free Audio CD Burner\unins000.exe AddRemove-Uninstall_is1 - c:\program files (x86)\Common Files\DVDVideoSoft\unins000.exe AddRemove-Guild Wars - c:\spiele\gw2\Gw.exe . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}] @Denied: (A) (Everyone) "Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3] @Denied: (A) (Everyone) . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0] "Key"="ActionsPane3" "Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd" . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2013-03-17 13:28:35 ComboFix-quarantined-files.txt 2013-03-17 12:28 . Vor Suchlauf: 13 Verzeichnis(se), 324.819.828.736 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 324.444.930.048 Bytes frei . - - End Of File - - 4F7EA6639AC3BAD15AD426452CF044C2 |
17.03.2013, 20:31 | #22 |
/// Helfer-Team | Groupon Virus/Trojaner Ersetze die *** Sternchen wieder in den Benutzernamen zurück! Combofix-Skript
dann nochmal MBAR und versuchen upzudaten! |
17.03.2013, 22:05 | #23 |
| Groupon Virus/Trojaner Also ich kenn mich jetzt nicht mehr so aus... Ist mein Avira laut bild 1+2 wie gewünscht abgeschaltet? Weil wenn ich nach Anweisung den Skript auf den "ComboFix" ziehe startet zwar alles nach plan, aber im Hintergrund wird mir bild 3 angezeigt. Der Log wird folgender maßen ausgespuckt: Code:
ATTFilter ComboFix 13-03-17.01 - **** 17.03.2013 21:20:07.3.4 - x64 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.4023.2623 [GMT 1:00] ausgeführt von:: c:\users\****\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\users\****\Desktop\CFScript.txt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\users\****\AppData\Roaming\Nuhon c:\users\****\AppData\Roaming\Nuhon\uxedy.tmp c:\users\****\Phrzstpqerl c:\users\****\Puoc c:\users\****\Wptrrbfqc . . ((((((((((((((((((((((( Dateien erstellt von 2013-02-17 bis 2013-03-17 )))))))))))))))))))))))))))))) . . 2013-03-17 20:28 . 2013-03-17 20:28 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp 2013-03-17 20:28 . 2013-03-17 20:28 -------- d-----w- c:\users\Default\AppData\Local\temp 2013-03-17 20:28 . 2013-03-17 20:28 -------- d-----w- c:\users\ADMINI~1\AppData\Local\temp 2013-03-17 09:28 . 2013-03-17 09:36 -------- d-----w- c:\windows\system32\catroot2 2013-03-16 10:16 . 2013-03-16 11:09 -------- d-----w- c:\windows\SysWow64\wbem\Performance 2013-03-16 10:09 . 2013-03-16 10:09 -------- d-----w- C:\RegBackup 2013-03-13 16:44 . 2013-03-13 16:44 -------- d-----w- C:\_OTL 2013-03-12 18:09 . 2013-03-12 18:09 -------- d-----w- c:\users\****\AppData\Roaming\Malwarebytes 2013-03-12 18:09 . 2013-03-12 18:09 -------- d-----w- c:\programdata\Malwarebytes 2013-03-12 18:09 . 2013-03-12 18:10 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2013-03-12 18:09 . 2012-12-14 15:49 24176 ----a-w- c:\windows\system32\drivers\mbam.sys 2013-03-12 18:08 . 2013-03-12 18:08 -------- d-----w- c:\users\****\AppData\Local\Programs 2013-03-10 20:14 . 2013-03-10 20:14 -------- d-----w- c:\users\****\AppData\Roaming\Avira 2013-03-10 20:08 . 2012-12-03 14:36 129216 ----a-w- c:\windows\system32\drivers\avipbb.sys 2013-03-10 20:08 . 2012-12-03 14:36 99912 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2013-03-10 20:08 . 2012-11-16 19:17 27800 ----a-w- c:\windows\system32\drivers\avkmgr.sys 2013-03-10 20:08 . 2013-03-10 20:09 -------- d-----w- c:\programdata\Avira 2013-03-10 20:08 . 2013-03-10 20:08 -------- d-----w- c:\program files (x86)\Avira 2013-03-10 19:13 . 2013-02-08 00:28 9162192 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{DBC671F6-597A-4BAB-8765-3FA2DCF8C522}\mpengine.dll 2013-03-02 16:07 . 2013-03-02 16:07 -------- d-----w- c:\users\****\AppData\Local\Macromedia 2013-03-02 16:07 . 2013-03-02 16:07 691568 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe 2013-02-18 19:07 . 2012-08-24 18:13 154480 ----a-w- c:\windows\system32\drivers\ksecpkg.sys 2013-02-18 19:07 . 2012-08-24 18:09 458712 ----a-w- c:\windows\system32\drivers\cng.sys 2013-02-18 19:07 . 2012-08-24 18:05 340992 ----a-w- c:\windows\system32\schannel.dll 2013-02-18 19:07 . 2012-08-24 18:03 1448448 ----a-w- c:\windows\system32\lsasrv.dll 2013-02-18 19:07 . 2012-08-24 16:57 247808 ----a-w- c:\windows\SysWow64\schannel.dll 2013-02-18 19:07 . 2012-08-24 16:57 22016 ----a-w- c:\windows\SysWow64\secur32.dll 2013-02-18 19:07 . 2012-08-24 16:53 96768 ----a-w- c:\windows\SysWow64\sspicli.dll 2013-02-18 19:07 . 2012-05-04 11:00 366592 ----a-w- c:\windows\system32\qdvd.dll 2013-02-18 19:07 . 2012-05-04 09:59 514560 ----a-w- c:\windows\SysWow64\qdvd.dll 2013-02-18 17:20 . 2013-01-05 05:53 5553512 ----a-w- c:\windows\system32\ntoskrnl.exe 2013-02-18 17:20 . 2013-01-05 05:00 3967848 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe 2013-02-18 17:20 . 2013-01-05 05:00 3913064 ----a-w- c:\windows\SysWow64\ntoskrnl.exe 2013-02-18 17:18 . 2013-01-04 05:46 215040 ----a-w- c:\windows\system32\winsrv.dll 2013-02-18 17:18 . 2013-01-04 02:47 25600 ----a-w- c:\windows\SysWow64\setup16.exe 2013-02-18 17:18 . 2013-01-04 02:47 14336 ----a-w- c:\windows\SysWow64\ntvdm64.dll 2013-02-18 17:18 . 2013-01-04 04:51 5120 ----a-w- c:\windows\SysWow64\wow32.dll 2013-02-18 17:18 . 2013-01-04 02:47 7680 ----a-w- c:\windows\SysWow64\instnm.exe 2013-02-18 17:18 . 2013-01-04 02:47 2048 ----a-w- c:\windows\SysWow64\user.exe 2013-02-18 17:18 . 2013-01-03 06:00 1913192 ----a-w- c:\windows\system32\drivers\tcpip.sys 2013-02-18 17:18 . 2013-01-03 06:00 288088 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS 2013-02-18 17:18 . 2012-12-26 05:47 1111040 ----a-w- c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll 2013-02-18 17:18 . 2012-12-26 04:49 760320 ----a-w- c:\program files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll 2013-02-15 22:04 . 2013-02-15 22:04 208448 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\nppdf32.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-03-02 16:07 . 2011-11-03 16:09 71024 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2013-02-18 19:19 . 2010-03-13 21:38 70004024 ----a-w- c:\windows\system32\MRT.exe 2013-01-17 00:28 . 2010-03-08 19:49 273840 ------w- c:\windows\system32\MpSigStub.exe 2013-01-04 04:43 . 2013-02-18 17:18 44032 ----a-w- c:\windows\apppatch\acwow64.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LightScribe Control Panel"="c:\program files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe" [2009-08-20 2363392] "HPADVISOR"="c:\program files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2009-09-29 1685048] "Steam"="c:\program files (x86)\Steam\Steam.exe" [2013-02-19 1597864] "ICQ"="c:\program files (x86)\ICQ7.0\ICQ.exe" [2011-01-05 133432] "OfficeSyncProcess"="c:\program files (x86)\Microsoft Office\Office14\MSOSYNC.EXE" [2012-01-20 719672] "TomTomHOME.exe"="c:\program files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" [2012-08-28 247768] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "Corel File Shell Monitor"="c:\program files (x86)\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe" [2009-08-25 15544] "HPCam_Menu"="c:\program files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504] "QlbCtrl.exe"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-08-20 322104] "Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2009-09-02 60464] "HP Software Update"="c:\program files (x86)\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576] "WirelessAssistant"="c:\program files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-07-23 498744] "SetPoint"="c:\program files (x86)\Logitech\Tastatur\SetPoint\KEM.EXE" [2004-07-15 581632] "BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520] "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696] "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352] "avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2013-01-23 385248] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Logitech Desktop Messenger.lnk - c:\program files (x86)\Logitech\Maus\Desktop Messenger\8876480\Program\LDMConf.exe [2010-3-4 169472] Logitech SetPoint.lnk - c:\program files (x86)\Logitech\Tastatur\SetPoint\KEM.exe [2010-3-4 581632] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) "HideFastUserSwitching"= 0 (0x0) . [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="userinit.exe" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" . R2 AntiVirWebService;Avira Browser-Schutz;c:\program files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [2013-01-14 565472] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2009-07-14 27136] R2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-12-14 398184] R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-12-14 682344] R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-13 160944] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-12-14 24176] R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368] R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2009-07-14 27136] R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 19456] R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [2009-06-10 292864] R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [2009-06-10 1485312] R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [2009-06-10 740864] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2012-08-23 57856] R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-06-10 389120] S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2012-11-16 27800] S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\AESTSr64.exe [2009-03-02 89600] S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2013-01-28 86752] S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2011-05-13 30520] S2 TomTomHOMEService;TomTomHOMEService;c:\program files (x86)\TomTom HOME 2\TomTomHOMEService.exe [2012-08-28 92632] S3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408] S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2009-06-29 70656] S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-13 151040] S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2009-07-21 140712] S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-10-03 258560] . . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost] nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper . HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs ezSharedSvc . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 2009-08-20 12:24 451872 ----a-w- c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe . Inhalt des "geplante Tasks" Ordners . 2013-03-17 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-02 16:07] . 2013-03-07 c:\windows\Tasks\HPCeeScheduleFor****.job - c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2009-10-07 03:22] . 2013-03-17 c:\windows\Tasks\MT66 Software Update.job - c:\program files (x86)\Common Files\MT66 Software Update\UpdateClient.exe [2010-07-09 16:44] . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU] "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2009-08-25 610872] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-09 171520] "SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-23 487424] . ------- Zusätzlicher Suchlauf ------- . uLocal Page = c:\windows\system32\blank.htm mLocal Page = c:\windows\SysWOW64\blank.htm IE: An OneNote s&enden - c:\progra~2\MICROS~4\Office14\ONBttnIE.dll/105 IE: Free YouTube to MP3 Converter - c:\users\****\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~4\Office14\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~4\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.178.1 FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\sngfqydl.default-1362944486578\ FF - ExtSQL: 2013-02-19 21:07; {10743931-94DF-476f-A987-4391233C17A2}; c:\program files (x86)\Mozilla Firefox\extensions\{10743931-94DF-476f-A987-4391233C17A2} FF - ExtSQL: 2013-02-19 21:07; {CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}; c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} . - - - - Entfernte verwaiste Registrierungseinträge - - - - . Wow6432Node-HKLM-Run-<NO NAME> - (no file) AddRemove-EasyBits Magic Desktop - c:\windows\system32\ezMDUninstall.exe AddRemove-Free Audio CD Burner_is1 - c:\program files (x86)\DVDVideoSoft\Free Audio CD Burner\unins000.exe AddRemove-Uninstall_is1 - c:\program files (x86)\Common Files\DVDVideoSoft\unins000.exe . . . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}] @Denied: (A) (Everyone) "Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3] @Denied: (A) (Everyone) . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0] "Key"="ActionsPane3" "Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd" . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2013-03-17 21:38:15 ComboFix-quarantined-files.txt 2013-03-17 20:38 . Vor Suchlauf: 19 Verzeichnis(se), 324.143.112.192 Bytes frei Nach Suchlauf: 20 Verzeichnis(se), 323.832.442.880 Bytes frei . - - End Of File - - 476D2824016F48CD914DAB5C348641B2 Es wurde kein Fenster angezeigt bei dem ich Anweisungen hätte folgen können. Somit wurde ja auch kein upload gestartet oder? Mbar konnte wieder kein Update durchführen es wurde mir wieder der "Host not found" angezeigt |
18.03.2013, 00:23 | #24 |
/// Helfer-Team | Groupon Virus/Trojaner Versuche MBAR im abgesicherten Modus laufen zu lassen. |
18.03.2013, 16:53 | #25 |
| Groupon Virus/Trojaner also ich hab windows7 ich denke mal den abgesicherten modus mit netzwerktreibern oder, wegen dem Update?! Also update fehlanzeige, in der symbolleiste wird mir dennoch die Internet Verbindung angezeigt. Nach dem Scannen der Textmod.exe wird mir immer dieser eine Fund gemeldet. Diese exe benötige ich nicht mehr, könnte sie also löschen, wenn mir das weiter helfen würde. der Log: Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1021 www.malwarebytes.org Database version: v2013.02.15.09 Windows 7 Service Pack 1 x64 NTFS (Safe Mode/Networking) Internet Explorer 8.0.7601.17514 **** :: ****-PC [administrator] 18.03.2013 17:08:47 mbar-log-2013-03-18 (17-08-47).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 31776 Time elapsed: 14 minute(s), 17 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) Geändert von Geister_Hugo (18.03.2013 um 17:14 Uhr) |
18.03.2013, 20:44 | #26 | |
/// Helfer-Team | Groupon Virus/TrojanerZitat:
Welcher Fund? |
18.03.2013, 20:47 | #27 |
| Groupon Virus/Trojaner Also ich habe doch von "Mbar" (Bild1) schon mal den fund als bild gepostet. Wenn "Mbar" durchläuft sucht es in einem Verzeichnis ->siehe bild2. Anschließend aktualisiert sich das Fenster in ->siehe bild3. diese Textmod exe ist aber schon seit längerem auf dem Rechner und wurde mir nie gemeldet von Avira. Dies ist im Prinzip nur ein hilfsprogramm für ein Pc-Game. obwohl ja in der Log-datei von "mbar" von keinem fund berichtet wird, oder? (wenn ich das richtig interpretiere) Es gibt weitere neuigkeiten.... Es wurde komischerweise das Windowsupdate gestartet und ausgeführt, siehe bild4 ich hoffe dass wir das hinkriegen :-/ Geändert von Geister_Hugo (18.03.2013 um 21:45 Uhr) |
19.03.2013, 19:39 | #28 |
/// Helfer-Team | Groupon Virus/Trojaner Hast du alle Firewalls abgeschaltet fuer den Scan & Update? Downloade Dir bitte SecurityCheck und:
|
19.03.2013, 20:10 | #29 |
| Groupon Virus/Trojaner hier die "Security check" log: Code:
ATTFilter Results of screen317's Security Check version 0.99.59 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` WMI entry may not exist for antivirus; attempting automatic update. Avira successfully updated! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 Java(TM) 6 Update 33 Java version out of Date! Adobe Flash Player 10 Flash Player out of Date! Adobe Flash Player 11.6.602.171 Adobe Reader XI Mozilla Firefox (19.0.2) Mozilla Thunderbird 12.0.1 Thunderbird out of Date! ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` |
19.03.2013, 20:38 | #30 | |
/// Helfer-Team | Groupon Virus/TrojanerZitat:
Alles Windows Updates einspielen, inkl. Internet Explorer! http://windowsupdate.microsoft.com Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck |
Themen zu Groupon Virus/Trojaner |
antivir, aufbau, dateien, e-mail, firefox, gestartet, gmer, hinweis, js/blacole.psan, keine rückmeldung, keine rückmeldung mehr, klicke, mozilla, neues, programm, quarantäne, rückmeldung, seite, starten, tr/injector.aos, tr/yakes.cnnh, version, virus, öffnet |