trojaner auf einem rechner

timsss · 24.03.2013, 11:18

hallo eine maus hat gesponnen dann habe ich adw scann gemacht und er hat einiges gefunden. danach mit adwcleaner (siehe unten) und Malwarebytes + malware-rootkits nichts gefunden. anschließend mit jtr da wurde er fündig s.u. kann mir jemand helfen. danke gruß timoAdwCleaner Logfile:

Code:

ATTFilter

# AdwCleaner v2.003 - Datei am 03/24/2013 um 08:06:29 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : rebeldog - REBELDOG-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\rebeldog2\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\rebeldog\AppData\Roaming\Mozilla\Firefox\Profiles\xd3xva8y.default\searchplugins\Askcom.xml
Ordner Gelöscht : C:\Program Files (x86)\Ask.com
Ordner Gelöscht : C:\Users\rebeldog\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Users\rebeldog\AppData\Roaming\Mozilla\Firefox\Profiles\xd3xva8y.default\extensions\toolbar@ask.com
Ordner Gelöscht : C:\Users\rebeldog2\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.10.9200.16521

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.avira.com/?l=dis&o=APN10267&gct=hp&dc=EU&locale=de_NL --> hxxp://www.google.com

-\\ Mozilla Firefox v19.0.2 (de)

Profilname : default 
Datei : C:\Users\rebeldog\AppData\Roaming\Mozilla\Firefox\Profiles\xd3xva8y.default\prefs.js

[OK] Die Datei ist sauber.

Profilname : default 
Datei : C:\Users\rebeldog2\AppData\Roaming\Mozilla\Firefox\Profiles\grwjv9wc.default\prefs.js

Gelöscht : user_pref("browser.search.defaultengine", "Ask.com");
Gelöscht : user_pref("browser.search.defaultenginename", "Ask.com");
Gelöscht : user_pref("browser.search.order.1", "Ask.com");
Gelöscht : user_pref("browser.startup.homepage", "hxxp://search.avira.com/?l=dis&o=APN10267&gct=hp&dc=EU&locale[...]
Gelöscht : user_pref("extensions.asktb.ff-original-keyword-url", "hxxp://www.google.com/search?ie=UTF-8&oe=utf-[...]

*************************

AdwCleaner[R7].txt - [5093 octets] - [24/03/2013 08:05:56]
AdwCleaner[R6].txt - [1396 octets] - [11/02/2013 16:16:53]
AdwCleaner[S2].txt - [4714 octets] - [24/03/2013 08:06:29]
AdwCleaner[S1].txt - [3366 octets] - [07/02/2013 03:20:09]
AdwCleaner[R5].txt - [1336 octets] - [07/02/2013 05:59:30]
AdwCleaner[R2].txt - [1096 octets] - [03/02/2013 05:04:49]
AdwCleaner[R1].txt - [1035 octets] - [27/01/2013 21:44:52]
AdwCleaner[R4].txt - [1276 octets] - [07/02/2013 03:22:14]
AdwCleaner[R3].txt - [2711 octets] - [07/02/2013 03:19:35]

########## EOF - \AdwCleaner[S2].txt - [5134 octets] ##########

--- --- ---JRT Logfile:

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.7.3 (03.23.2013:1)
OS: Windows 7 Home Premium x64
Ran by rebeldog on 24.03.2013 at 10:57:51,05
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] hkey_local_machine\software\classes\appid\complitly.dll
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\installer\upgradecodes\f928123a039649549966d4c29d35b1c9
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\scripthost.tool
Successfully deleted: [Registry Key] hkey_local_machine\software\classes\scripthost.tool.1



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [Folder] C:\Users\rebeldog\AppData\Roaming\mozilla\firefox\profiles\xd3xva8y.default\extensions\software@loadtubes.com
Successfully deleted the following from C:\Users\rebeldog\AppData\Roaming\mozilla\firefox\profiles\xd3xva8y.default\prefs.js

user_pref("KYNETX_UBX_runtime", "window['kobj_ts'] = '20111026191230';function KrlExternalResource(url)\n{this.name=null;this.url=url;this.loaded=false;this.requested=false;th
Emptied folder: C:\Users\rebeldog\AppData\Roaming\mozilla\firefox\profiles\xd3xva8y.default\minidumps [5 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 24.03.2013 at 11:06:06,97
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

--- --- ---

t'john · 25.03.2013, 20:44

Zitat:

trojaner auf einem rechner

wie kommst du darauf?

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

timsss · 26.03.2013, 18:16

habe eine rechner neu augesetzt. danach it hitman pro gescannt und er hat angezeigt trojaner ocs_v7a.exe. die kaspersky cd wollte er nicht booten. dann habe ich noch fragen... ist mein mbr sauber und wie checke ich gefahrlos eine externe festplatte? merci vorrab!

t'john · 26.03.2013, 19:07

Hast du von einer Win7 DVD installiert und vorher die Platte formatiert?

timsss · 26.03.2013, 19:25

ja habe ich

vielleicht nutzt das noch

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-03-26 07:37:35
-----------------------------
07:37:35.297 OS Version: Windows x64 6.1.7601 Service Pack 1
07:37:35.297 Number of processors: 2 586 0x170A
07:37:35.297 ComputerName: KRAFT-PC UserName: kraft
07:37:52.535 Initialize success
07:39:14.287 AVAST engine defs: 13032502
07:40:01.977 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
07:40:01.980 Disk 0 Vendor: WDC_WD5000AAKX-001CA0 15.01H15 Size: 476940MB BusType: 3
07:40:01.985 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP3T0L0-3
07:40:01.987 Disk 1 Vendor: Hitachi_HDS721050CLA362 JP2OA50E Size: 476940MB BusType: 3
07:40:02.070 Disk 0 MBR read successfully
07:40:02.072 Disk 0 MBR scan
07:40:02.080 Disk 0 Windows 7 default MBR code
07:40:02.082 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
07:40:02.092 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152798 MB offset 206848
07:40:02.100 Disk 0 Partition - 00 0F Extended LBA 324029 MB offset 313138980
07:40:02.125 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 324029 MB offset 313139043
07:40:02.147 Disk 0 scanning C:\Windows\system32\drivers
07:40:09.287 Service scanning
07:40:23.154 Modules scanning
07:40:23.166 Disk 0 trace - called modules:
07:40:23.186 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS intelide.sys PCIIDEX.SYS hal.dll atapi.sys
07:40:23.191 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c4f060]
07:40:23.201 3 CLASSPNP.SYS[fffff880019c243f] -> nt!IofCallDriver -> [0xfffffa8004af7580]
07:40:23.209 5 ACPI.sys[fffff88000faa7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa8004ae2060]
07:40:23.644 AVAST engine scan C:\Windows
07:40:24.626 AVAST engine scan C:\Windows\system32
07:42:20.252 AVAST engine scan C:\Windows\system32\drivers
07:42:28.319 AVAST engine scan C:\Users\kraft
07:43:12.870 AVAST engine scan C:\ProgramData
07:44:34.419 Scan finished successfully
07:48:53.158 Disk 0 MBR has been saved successfully to "C:\Users\kraft\Desktop\MBR.dat"
07:48:53.158 The log file has been saved successfully to "C:\Users\kraft\Desktop\aswMBR.txt"

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-03-26 07:51:06
-----------------------------
07:51:06.877 OS Version: Windows x64 6.1.7601 Service Pack 1
07:51:06.877 Number of processors: 2 586 0x170A
07:51:06.877 ComputerName: KRAFT-PC UserName: kraft
07:51:07.454 Initialize success
07:51:13.772 AVAST engine defs: 13032502
07:51:16.268 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
07:51:16.268 Disk 0 Vendor: WDC_WD5000AAKX-001CA0 15.01H15 Size: 476940MB BusType: 3
07:51:16.268 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP3T0L0-3
07:51:16.268 Disk 1 Vendor: Hitachi_HDS721050CLA362 JP2OA50E Size: 476940MB BusType: 3
07:51:16.471 Disk 0 MBR read successfully
07:51:16.471 Disk 0 MBR scan
07:51:16.487 Disk 0 Windows 7 default MBR code
07:51:16.502 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
07:51:16.518 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152798 MB offset 206848
07:51:16.533 Disk 0 Partition - 00 0F Extended LBA 324029 MB offset 313138980
07:51:16.565 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 324029 MB offset 313139043
07:51:16.674 Disk 0 scanning C:\Windows\system32\drivers
07:51:30.776 Service scanning
07:51:44.905 Modules scanning
07:51:44.905 Disk 0 trace - called modules:
07:51:44.920 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS intelide.sys PCIIDEX.SYS hal.dll atapi.sys
07:51:44.920 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c4f060]
07:51:44.920 3 CLASSPNP.SYS[fffff880019c243f] -> nt!IofCallDriver -> [0xfffffa8004af7580]
07:51:44.920 5 ACPI.sys[fffff88000faa7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa8004ae2060]
07:51:45.419 AVAST engine scan C:\Windows
07:51:52.526 AVAST engine scan C:\Windows\system32
07:54:14.602 AVAST engine scan C:\Windows\system32\drivers
07:54:22.562 AVAST engine scan C:\Users\kraft
07:55:16.640 AVAST engine scan C:\ProgramData
07:56:11.586 Scan finished successfully
07:57:21.251 Disk 0 MBR has been saved successfully to "C:\Users\kraft\Desktop\MBR.dat"
07:57:21.251 The log file has been saved successfully to "C:\Users\kraft\Desktop\aswMBR.txt"

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-03-26 19:23:44
-----------------------------
19:23:44.562 OS Version: Windows x64 6.1.7601 Service Pack 1
19:23:44.562 Number of processors: 2 586 0x170A
19:23:44.562 ComputerName: KRAFT-PC UserName: kraft
19:23:45.139 Initialize success
19:23:52.276 AVAST engine defs: 13032502
19:31:17.618 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
19:31:17.626 Disk 0 Vendor: WDC_WD5000AAKX-001CA0 15.01H15 Size: 476940MB BusType: 3
19:31:17.633 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP3T0L0-3
19:31:17.641 Disk 1 Vendor: Hitachi_HDS721050CLA362 JP2OA50E Size: 476940MB BusType: 3
19:31:17.753 Disk 0 MBR read successfully
19:31:17.761 Disk 0 MBR scan
19:31:17.771 Disk 0 Windows 7 default MBR code
19:31:17.781 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
19:31:17.791 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 152798 MB offset 206848
19:31:17.803 Disk 0 Partition - 00 0F Extended LBA 324029 MB offset 313138980
19:31:17.823 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 324029 MB offset 313139043
19:31:17.856 Disk 0 scanning C:\Windows\system32\drivers
19:31:23.958 Service scanning
19:31:37.346 Modules scanning
19:31:37.371 Disk 0 trace - called modules:
19:31:37.386 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS intelide.sys PCIIDEX.SYS hal.dll atapi.sys
19:31:37.396 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004c4e1a0]
19:31:37.408 3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa8004ada520]
19:31:37.418 5 ACPI.sys[fffff88000f787a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa8004adc680]
19:31:38.126 AVAST engine scan C:\Windows
19:31:39.168 AVAST engine scan C:\Windows\system32
19:33:08.886 AVAST engine scan C:\Windows\system32\drivers
19:33:15.945 AVAST engine scan C:\Users\kraft
19:33:54.444 AVAST engine scan C:\ProgramData
19:35:04.712 Scan finished successfully
19:35:17.416 Disk 0 MBR has been saved successfully to "C:\Users\kraft\Desktop\MBR.dat"
19:35:17.426 The log file has been saved successfully to "C:\Users\kraft\Desktop\aswMBR.txt"

t'john · 27.03.2013, 12:28

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

dann:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

timsss · 28.03.2013, 06:25

hier die ergebnisse

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.28.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
kraft :: KRAFT-PC [administrator]

28.03.2013 06:10:15
mbar-log-2013-03-28 (06-10-15).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 28002
Time elapsed: 5 minute(s), 5 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

ar Results of screen317's Security Check version 0.99.59
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Kaspersky Internet Security
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.70.0.1100
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
Kaspersky Lab Kaspersky Internet Security 2012 avp.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

t'john · 29.03.2013, 09:46

Gut!

Gibt es noch Probleme mit dem Rechner?

timsss · 29.03.2013, 10:22

heute nacht hat er malware gefunden also hitman pro hat gefunden. opr003p2.tmp
saß in AppData/Local.. im Browser. und die bENUTZERKONTENSTEUERUNG WAR RUNTER GESETZT: HABE SIE AUF HÖCHSTE STUFE GESTELLT UND DANN WURDE GEMELDET DAS ICH AUF EINE BESTIMTe datei nicht zugreifen kann. Malwarebytes hat dann eine potenziell gefährliche eingehende webseite verhindert. wenn ich bei opera im suchfeld rechts gehe soll ich umgeleitet werden 303 und dann link moved.

t'john · 29.03.2013, 15:29

Bitte die Logfiles dazu posten!

timsss · 29.03.2013, 16:44

hier sind die logs dazu

Code:

ATTFilter

HitmanPro 3.7.3.192
www.hitmanpro.com

   Computer name . . . . : KRAFT-PC
   Windows . . . . . . . : 6.1.1.7601.X64/2
   User name . . . . . . : kraft-PC\kraft
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Trial (26 days left)

   Scan date . . . . . . : 2013-03-29 13:29:46
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 5m 14s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 7

   Objects scanned . . . : 1.232.904
   Files scanned . . . . : 12.394
   Remnants scanned  . . : 305.378 files / 915.132 keys

Cookies _____________________________________________________________________

   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:ad.yieldmanager.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:ads.creative-serving.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:apmebf.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:doubleclick.net
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:invitemedia.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:serving-sys.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:track.adform.net

Code:

ATTFilter

HitmanPro 3.7.3.192
www.hitmanpro.com

   Computer name . . . . : KRAFT-PC
   Windows . . . . . . . : 6.1.1.7601.X64/2
   User name . . . . . . : kraft-PC\kraft
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Trial (26 days left)

   Scan date . . . . . . : 2013-03-29 15:04:11
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 3m 51s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 1
   Traces  . . . . . . . : 17

   Objects scanned . . . : 1.244.648
   Files scanned . . . . : 14.211
   Remnants scanned  . . : 305.505 files / 924.932 keys

Malware _____________________________________________________________________

   C:\Users\kraft\AppData\Local\Temp\OCS\ocs_v7a.exe -> Quarantined
      Size . . . . . . . : 339.968 bytes
      Age  . . . . . . . : 0.0 days (2013-03-29 14:20:20)
      Entropy  . . . . . : 6.3
      SHA-256  . . . . . : AF51C1C41613DE831DB0F2479840C88AD75E7283CAB428E7288AF4DE4651F759
      Product  . . . . . : OCS
      Publisher  . . . . : OCS
      Description  . . . : OCS
      Version  . . . . . : 1.0.0.0
      Copyright  . . . . : Copyright © Project OCS
    > Emsisoft . . . . . : Trojan.Win32.DownloadSponsor.AMN!A2
      Fuzzy  . . . . . . : 102.0
      Forensic Cluster
          0.0s C:\Users\kraft\AppData\Local\Temp\OCS\ocs_v7a.exe
          0.0s C:\Users\kraft\AppData\Local\Temp\OCS\wrfilnigdjcftihp.dat
          2.0s C:\Windows\Prefetch\TV-BROWSER-3-3.EXE-043DD18B.pf
         10.0s C:\Users\kraft\AppData\Local\Temp\OCS\Downloads\705f49176579a643660bff5ff6ae3956\4cc4f6c8449caa44523fd87c6a86e4cd\
         10.0s C:\Users\kraft\AppData\Local\Temp\OCS\Downloads\705f49176579a643660bff5ff6ae3956\4cc4f6c8449caa44523fd87c6a86e4cd\tvbrowser3.3.exe
         10.8s C:\Windows\Prefetch\OCS_V7A.EXE-28CEC838.pf


Cookies _____________________________________________________________________

   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:ad.360yield.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:ads.creative-serving.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:apmebf.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:atdmt.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:bs.serving-sys.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:doubleclick.net
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:invitemedia.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:revsci.net
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:serving-sys.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:smartadserver.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:statcounter.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:track.adform.net
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:tradedoubler.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:ww251.smartadserver.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:www.googleadservices.com
   C:\Users\kraft\AppData\Roaming\Mozilla\Firefox\Profiles\jcz2daph.default\cookies.sqlite:xiti.com

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.7.3 (03.23.2013:1)
OS: Windows 7 Home Premium x64
Ran by kraft on 29.03.2013 at 16:07:09,32
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~ Services

~~~ Registry Values

~~~ Registry Keys

~~~ Files

~~~ Folders

~~~ Event Viewer Logs were cleared

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 29.03.2013 at 16:29:08,81
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

t'john · 29.03.2013, 21:15

dann:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

timsss · 14.04.2013, 14:07

danke für deine hilfe. war weg. habe den rechner plattgemacht. sp1 vom stick hitman auch und den vorgeschlagenen onlinevirenscanner von dir auch. malware hat noch eine datei gefunden jetzt ist ruhe. danke

aber wenn ich jetzt jrt laufen lasse wechselt er den benutzer???

t'john · 14.04.2013, 20:01

Zitat:

habe den rechner plattgemacht

Neuinstallaion und davor formatiert?

Zitat:

malware hat noch eine datei gefunden

was genau?

timsss · 15.04.2013, 02:22

genau formatiert und neu installation. log habe ich leider nicht aufgehoben....

26.03.2013, 19:07	#4
t'john /// Helfer-Team	trojaner auf einem rechner Hast du von einer Win7 DVD installiert und vorher die Platte formatiert? __________________ Mfg, t'john Das TB unterstützen

29.03.2013, 09:46	#8
t'john /// Helfer-Team	trojaner auf einem rechner Gut! Gibt es noch Probleme mit dem Rechner? __________________ Mfg, t'john Das TB unterstützen

29.03.2013, 15:29	#10
t'john /// Helfer-Team	trojaner auf einem rechner Bitte die Logfiles dazu posten! __________________ Mfg, t'john Das TB unterstützen

trojaner auf einem rechner

Log-Analyse und Auswertung: trojaner auf einem rechner