|
Plagegeister aller Art und deren Bekämpfung: Auch ich habe den 100Tan TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.05.2013, 17:38 | #1 |
| Auch ich habe den 100Tan Trojaner Hallo, nun hat es auch mich erwischt. Beim öffnen meines Homebankings habe ich die Aufforderung erhalten, das meine TANs ablaufen und ich meine TANs in das pop-up Feld eintragen soll. Bank sofort angerufen und Konto sperren lassen. Mein Virenscan hat dann auch folgende Trojaner gefunden: TR.spy.zbut.coz TR/Bublik.I.13 TR/Agent.57344.89 Der Virenscan hat alle Trojaner erfolgreich isoliert. Nachdem ich einen erneuten Scan gemacht habe, wurden keine Viren mehr gefunden. Kann ich davon ausgehen, das ich jetzt wieder clean bin oder nicht? Anbei noch das Protokoll vom letzten Scan Antivirus Software: Avira free Antivirus Vielen Dank für Eure Hilfe Norbert Avira Free Antivirus Erstellungsdatum der Reportdatei: Dienstag, 21. Mai 2013 23:16 Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows (TM) Vista Home Premium Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : XXXXXXXX-PC Versionsinformationen: BUILD.DAT : 13.0.0.3640 54852 Bytes 18.04.2013 13:29:00 AVSCAN.EXE : 13.6.0.1262 636984 Bytes 07.05.2013 16:42:44 AVSCANRC.DLL : 13.4.0.360 64800 Bytes 12.12.2012 05:54:18 LUKE.DLL : 13.6.0.1262 65080 Bytes 07.05.2013 16:42:50 AVSCPLR.DLL : 13.6.0.1262 92216 Bytes 07.05.2013 16:42:44 AVREG.DLL : 13.6.0.1262 247864 Bytes 07.05.2013 16:42:43 avlode.dll : 13.6.2.1262 432184 Bytes 07.05.2013 16:42:43 avlode.rdf : 13.0.1.12 25921 Bytes 17.05.2013 04:54:25 VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 15:34:51 VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 16:47:24 VBASE002.VDF : 7.11.74.227 2048 Bytes 30.04.2013 16:47:24 VBASE003.VDF : 7.11.74.228 2048 Bytes 30.04.2013 16:47:24 VBASE004.VDF : 7.11.74.229 2048 Bytes 30.04.2013 16:47:24 VBASE005.VDF : 7.11.74.230 2048 Bytes 30.04.2013 16:47:24 VBASE006.VDF : 7.11.74.231 2048 Bytes 30.04.2013 16:47:24 VBASE007.VDF : 7.11.74.232 2048 Bytes 30.04.2013 16:47:24 VBASE008.VDF : 7.11.74.233 2048 Bytes 30.04.2013 16:47:24 VBASE009.VDF : 7.11.74.234 2048 Bytes 30.04.2013 16:47:24 VBASE010.VDF : 7.11.74.235 2048 Bytes 30.04.2013 16:47:24 VBASE011.VDF : 7.11.74.236 2048 Bytes 30.04.2013 16:47:24 VBASE012.VDF : 7.11.74.237 2048 Bytes 30.04.2013 16:47:24 VBASE013.VDF : 7.11.74.238 2048 Bytes 30.04.2013 16:47:24 VBASE014.VDF : 7.11.75.97 181248 Bytes 02.05.2013 20:48:34 VBASE015.VDF : 7.11.75.183 217600 Bytes 03.05.2013 20:48:34 VBASE016.VDF : 7.11.76.27 183808 Bytes 04.05.2013 20:48:34 VBASE017.VDF : 7.11.76.101 194048 Bytes 06.05.2013 16:42:41 VBASE018.VDF : 7.11.76.213 163328 Bytes 07.05.2013 20:17:41 VBASE019.VDF : 7.11.77.41 134656 Bytes 08.05.2013 20:17:41 VBASE020.VDF : 7.11.77.145 141312 Bytes 10.05.2013 17:23:27 VBASE021.VDF : 7.11.77.225 155648 Bytes 12.05.2013 10:00:41 VBASE022.VDF : 7.11.78.21 202752 Bytes 13.05.2013 19:28:43 VBASE023.VDF : 7.11.78.71 140800 Bytes 13.05.2013 20:09:53 VBASE024.VDF : 7.11.78.147 167936 Bytes 15.05.2013 19:52:02 VBASE025.VDF : 7.11.78.207 147456 Bytes 16.05.2013 04:54:22 VBASE026.VDF : 7.11.79.17 198656 Bytes 17.05.2013 21:14:41 VBASE027.VDF : 7.11.79.81 251392 Bytes 20.05.2013 17:08:58 VBASE028.VDF : 7.11.79.82 2048 Bytes 20.05.2013 17:08:58 VBASE029.VDF : 7.11.79.83 2048 Bytes 20.05.2013 17:08:58 VBASE030.VDF : 7.11.79.84 2048 Bytes 20.05.2013 17:08:58 VBASE031.VDF : 7.11.79.124 126976 Bytes 21.05.2013 17:08:59 Engineversion : 8.2.12.44 AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 14:42:55 AESCRIPT.DLL : 8.1.4.116 487805 Bytes 17.05.2013 04:54:25 AESCN.DLL : 8.1.10.4 131446 Bytes 26.03.2013 19:44:02 AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 16:58:06 AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 15:22:59 AEPACK.DLL : 8.3.2.12 754040 Bytes 08.05.2013 20:17:44 AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:14:08 AEHEUR.DLL : 8.1.4.368 5943673 Bytes 17.05.2013 04:54:24 AEHELP.DLL : 8.1.25.10 258425 Bytes 08.05.2013 20:17:42 AEGEN.DLL : 8.1.7.4 442741 Bytes 08.05.2013 20:17:42 AEEXP.DLL : 8.4.0.30 201078 Bytes 17.05.2013 04:54:25 AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 14:42:55 AECORE.DLL : 8.1.31.2 201080 Bytes 19.02.2013 18:18:53 AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 21:26:31 AVWINLL.DLL : 13.6.0.480 26480 Bytes 12.02.2013 20:41:42 AVPREF.DLL : 13.6.0.480 51056 Bytes 12.02.2013 20:41:48 AVREP.DLL : 13.6.0.480 178544 Bytes 09.02.2013 09:43:49 AVARKT.DLL : 13.6.0.1262 258104 Bytes 07.05.2013 16:42:42 AVEVTLOG.DLL : 13.6.0.1262 164920 Bytes 07.05.2013 16:42:43 SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 18:17:40 AVSMTP.DLL : 13.6.0.480 62832 Bytes 12.02.2013 20:41:49 NETNT.DLL : 13.6.0.480 16240 Bytes 12.02.2013 20:42:04 RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 12.12.2012 05:54:14 RCTEXT.DLL : 13.6.0.976 69344 Bytes 01.04.2013 14:40:33 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\AVSCAN-20130521-225728-CBFCE744.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Dienstag, 21. Mai 2013 23:16 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'nvSCPAPISvr.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '138' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '82' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '125' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'spmonitor.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'sump.exe' - '109' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'nvraidservice.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'RAVCpl64.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'ABoard.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'SmpSys.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'AOSD.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'CamTray.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexStoreSvr.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'PhotoshopElementsFileAgent.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'ETService.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'HidService.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'ilat.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'quabn.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'PhLeAutoRun.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'tbhcn.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'PassThruSvr.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'IoctlSvc.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '7' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '79' Modul(e) wurden durchsucht Durchsuche Prozess 'AdobeARM.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'htcUPCTLoader.exe' - '120' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcAppFlt.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'WUDFHost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'Updater.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcIp.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'NMIndexingService.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'wmplayer.exe' - '100' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'conime.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '95' Modul(e) wurden durchsucht Durchsuche Prozess 'daemonu.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '110' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '3340' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <OS> Ende des Suchlaufs: Mittwoch, 22. Mai 2013 01:32 Benötigte Zeit: 2:16:02 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 49437 Verzeichnisse wurden überprüft 807136 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 807136 Dateien ohne Befall 11082 Archive wurden durchsucht 0 Warnungen 0 Hinweise 984246 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
22.05.2013, 17:43 | #2 |
/// Malwareteam / Visitor | Auch ich habe den 100Tan Trojaner Hi Norbert
__________________Ich bin Smeenk und ich werde versuchen Dir zu helfen Systemscan mit ZOEK Bitte lade die zoek.exe von hier: http://hijackthis.nl/smeenk/
Bitte alles nach Möglichkeit hier in CODE-Tags posten: [code] Dein Log hier [/code] |
22.05.2013, 18:26 | #3 |
| Auch ich habe den 100Tan Trojaner Hallo,
__________________superschnelle Antwort, das ist ein Service!! Anbei das Log: Code:
ATTFilter Zoek.exe Version 4.0.0.2 Updated 22-May-2013 Tool run by Norbert on 22.05.2013 at 19:05:17,28. Microsoft® Windows Vista™ Home Premium 6.0.6002 Service Pack 2 x64 Running in: Normal Mode Internet Access Detected ==== Creating Sample__1907.zip ====================== Copied file C:\Users\Norbert\acrobat.exe to sample Copied file C:\Users\Norbert\googleupdate.exe to sample Copied file C:\Users\Norbert\notepad.exe to sample Copied file C:\Users\Norbert\rundll32.exe to sample Copied file C:\Users\Norbert\AppData\Local\TempFullTiltPokerEuSetup.exe to sample sample\acrobat.exe renamed to D41D8CD98F00B204E9800998ECF8427E sample\googleupdate.exe renamed to D41D8CD98F00B204E9800998ECF8427E sample\notepad.exe renamed to D41D8CD98F00B204E9800998ECF8427E sample\rundll32.exe renamed to D41D8CD98F00B204E9800998ECF8427E sample\TempFullTiltPokerEuSetup.exe renamed to 312BA490362F60E5760FFED58C64FB18 C:\Users\Public\Desktop\sample__1907.zip created successfully ==== Deleting CLSID Registry Keys ====================== HKEY_USERS\S-1-5-21-474512844-143842385-2892421710-1000\Software\Microsoft\Internet Explorer\SearchScopes\{DDDFBFC5-9DF4-43E4-A846-C5A81E5400BF} deleted successfully HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{E54729E8-BB3D-4270-9D49-7389EA579090} deleted successfully ==== Deleting CLSID Registry Values ====================== HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{E54729E8-BB3D-4270-9D49-7389EA579090} deleted successfully ==== FireFox Fix ====================== ProfilePath: C:\Users\Norbert\AppData\Roaming\Mozilla\Firefox\Profiles\sh5dl7cg.default ---- Lines WebSearch removed from prefs.js ---- user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&locale=&apn_uid=FF1D3E76-FF0C-4B5A-B743-52C14912E6AD&apn_ptnrs=&apn_sauid=03A43ADB-FF9B-40B2-83B8-42D4FDEE6B70&apn_dtid=OSJ000&&q="); ---- Lines WebSearch modified from prefs.js ---- ---- Lines WebSearch removed from user.js ---- ---- Lines ask.com removed from prefs.js ---- user_pref("browser.search.defaultengine", "Ask.com"); user_pref("browser.search.defaultenginename", "Ask.com"); user_pref("browser.search.order.1", "Ask.com"); user_pref("browser.search.selectedEngine", "Ask.com"); ---- Lines ask.com modified from prefs.js ---- ---- Lines ask.com removed from user.js ---- ---- Lines asktb removed from prefs.js ---- user_pref("extensions.asktb.ff-original-keyword-url", ""); ---- Lines asktb modified from prefs.js ---- ---- Lines asktb removed from user.js ---- ---- FireFox user.js and prefs.js backups ---- user__1908_.backup prefs__1908_.backup ==== Deleting Files \ Folders ====================== "C:\Users\Norbert\AppData\Roaming\skype.ini" deleted "C:\END" deleted "C:\Users\Norbert\acrobat.exe" deleted "C:\Users\Norbert\googleupdate.exe" deleted "C:\Users\Norbert\notepad.exe" deleted "C:\Users\Norbert\rundll32.exe" deleted "C:\Users\Norbert\AppData\Local\TempFullTiltPokerEuSetup.exe" deleted "C:\Users\Norbert\AppData\Roaming\Yles\sizif.ixk" deleted "C:\Users\Norbert\AppData\Roaming\Burag\arku.tmp" deleted "C:\Users\Norbert\AppData\Roaming\Burag\arku.uzf" deleted "C:\Users\Norbert\AppData\Roaming\Hiibz\abogk.poi" deleted "C:\Users\Norbert\AppData\Roaming\Soney\ilat.exe" deleted "C:\Users\Norbert\AppData\Roaming\Wywoi\ohax.pue" deleted "C:\Users\Norbert\AppData\Roaming\Nugyvo\waafg.qiu" deleted "C:\Users\Norbert\AppData\Roaming\Sykovo\quabn.exe" deleted "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" deleted "C:\Users\Norbert\AppData\Roaming\Yles" deleted "C:\Users\Norbert\AppData\Roaming\Burag" deleted "C:\Users\Norbert\AppData\Roaming\Etuda" deleted "C:\Users\Norbert\AppData\Roaming\Hiibz" deleted "C:\Users\Norbert\AppData\Roaming\Soney" deleted "C:\Users\Norbert\AppData\Roaming\Wywoi" deleted "C:\Users\Norbert\AppData\Roaming\Nugyvo" deleted "C:\Users\Norbert\AppData\Roaming\Okbune" deleted "C:\Users\Norbert\AppData\Roaming\Sykovo" deleted "C:\Program Files (x86)\GinyasBrowserCompanion" deleted "C:\Program Files (x86)\Ask.com" deleted "C:\ProgramData\Ask" deleted "C:\Users\Norbert\AppData\LocalLow\AskToolbar" deleted "C:\Users\Norbert\AppData\LocalLow\bbrs_002.tb" deleted "C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}" deleted "C:\Program Files (x86)\Ask.com\Updater" deleted ==== Files Recently Created / Modified ====================== ====== C:\Windows ==== ====== C:\Users\Norbert\AppData\Local\Temp ==== ====== C:\Windows\SysWOW64 ===== 2013-05-17 05:04:45 EB776FA63947CB30EC24A71EAFC2D618 73216 ----a-w- C:\Windows\SysWOW64\mshtmled.dll 2013-05-17 05:04:45 4B185E9743BFF0DFC905911C4FABAB05 420864 ----a-w- C:\Windows\SysWOW64\vbscript.dll 2013-05-17 05:04:44 6B07400F62998EB6970807C0A69CF152 1796096 ----a-w- C:\Windows\SysWOW64\iertutil.dll 2013-05-17 05:04:43 AFAF17FF419BA7E47412AD720ABBEC23 231936 ----a-w- C:\Windows\SysWOW64\url.dll 2013-05-17 05:04:43 9649C970BFFA54F66E77FC18AC9B6BF4 176640 ----a-w- C:\Windows\SysWOW64\ieui.dll 2013-05-17 05:04:43 61AE3CFCD6EFDA9EADAB6B87CD6BC7DC 142848 ----a-w- C:\Windows\SysWOW64\ieUnatt.exe 2013-05-17 05:04:42 B64259DE087A5FB227D50F476B466735 1104384 ----a-w- C:\Windows\SysWOW64\urlmon.dll 2013-05-17 05:04:42 9E254EC51F63C38C3FE4DF83E5CE42CE 65024 ----a-w- C:\Windows\SysWOW64\jsproxy.dll 2013-05-17 05:04:41 DFD966309C42287C731428258BCA997F 1427968 ----a-w- C:\Windows\SysWOW64\inetcpl.cpl 2013-05-17 05:04:41 36AD48C975F88D302C1F824987D691CA 607744 ----a-w- C:\Windows\SysWOW64\msfeeds.dll 2013-05-17 05:04:41 2C96B3921B4CDE10DBAED5AAD760DB67 1129472 ----a-w- C:\Windows\SysWOW64\wininet.dll 2013-05-17 05:04:40 5123EBB7008E8BC0F016CBECAE2A52C3 1800704 ----a-w- C:\Windows\SysWOW64\jscript9.dll 2013-05-17 05:04:40 03CB321720B8607C9BF38B8057E1EE29 717824 ----a-w- C:\Windows\SysWOW64\jscript.dll 2013-05-17 05:04:36 054211C307009F31BAF47CF046D48D42 9738752 ----a-w- C:\Windows\SysWOW64\ieframe.dll 2013-05-17 04:54:50 26F30066B9FA78C97A0E92803D496211 12324864 ----a-w- C:\Windows\SysWOW64\mshtml.dll 2013-05-17 04:54:47 BAC6BA11D60205F91797329817168B70 2382848 ----a-w- C:\Windows\SysWOW64\mshtml.tlb ====== C:\Windows\SysWOW64\drivers ===== ====== C:\Windows\Sysnative ===== 2013-05-17 05:04:45 7A2E6DFEB8F800233FED8D5484306C7D 96768 ----a-w- C:\Windows\Sysnative\mshtmled.dll 2013-05-17 05:04:44 2801567C850F1696D53C5E2CD1AE569A 2147840 ----a-w- C:\Windows\Sysnative\iertutil.dll 2013-05-17 05:04:43 8FECD64E4FA72FE8A85731CD5E840297 248320 ----a-w- C:\Windows\Sysnative\ieui.dll 2013-05-17 05:04:43 4E468ED6298FA175A3F2EA7098D91225 237056 ----a-w- C:\Windows\Sysnative\url.dll 2013-05-17 05:04:43 47BC290F4400C1741B1F26429A352C60 173056 ----a-w- C:\Windows\Sysnative\ieUnatt.exe 2013-05-17 05:04:43 05A140843C0A768AFAAF443238C6340C 85504 ----a-w- C:\Windows\Sysnative\jsproxy.dll 2013-05-17 05:04:42 420C9E418CECC3B0DBF5B9BB914F8D0D 1346560 ----a-w- C:\Windows\Sysnative\urlmon.dll 2013-05-17 05:04:41 F28D84112B79212FE84366A4EA517C87 2312704 ----a-w- C:\Windows\Sysnative\jscript9.dll 2013-05-17 05:04:41 C1B443AAB0FC3C98C868B4F804DFD520 729088 ----a-w- C:\Windows\Sysnative\msfeeds.dll 2013-05-17 05:04:41 563C71A913CAC0C3DE5FFCD36EDB43A0 1392128 ----a-w- C:\Windows\Sysnative\wininet.dll 2013-05-17 05:04:41 429597553FE585EECB03C8485D45FE7A 1494528 ----a-w- C:\Windows\Sysnative\inetcpl.cpl 2013-05-17 05:04:40 51BBFA26DA948738E64B23802E325E04 816640 ----a-w- C:\Windows\Sysnative\jscript.dll 2013-05-17 05:04:40 36A7EEDB4155B1EA04A53C0FFE93C2EE 599040 ----a-w- C:\Windows\Sysnative\vbscript.dll 2013-05-17 05:04:37 F5C9C0C541AE814AED6ED959C1F26423 10926080 ----a-w- C:\Windows\Sysnative\ieframe.dll 2013-05-17 04:54:47 955A6E94C2728F2A647BAB24F2A0B0D6 2382848 ----a-w- C:\Windows\Sysnative\mshtml.tlb 2013-05-17 04:54:47 7212340908E00AD2F28E58EA04CEB852 17818624 ----a-w- C:\Windows\Sysnative\mshtml.dll 2013-05-15 20:05:44 570DAA0D122E136209823FA8C042EF65 2774016 ----a-w- C:\Windows\Sysnative\win32k.sys 2013-05-15 20:05:43 6D798629B0A33D33E0BFED45BC438E1E 47104 ----a-w- C:\Windows\Sysnative\cdd.dll ====== C:\Windows\Sysnative\drivers ===== 2013-05-15 20:05:43 F3932288EEECD776FF1F9F653AD878F3 901496 ----a-w- C:\Windows\Sysnative\drivers\dxgkrnl.sys ====== C:\Windows\Tasks ====== ====== C:\Windows\Temp ====== ======= C:\Program Files ===== ======= C:\Program Files (x86) ===== ======= C: ===== ====== C:\Users\Norbert\AppData\Roaming ====== ====== C:\Users\Norbert ====== 2013-05-13 19:39:37 -------- d-----w- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uniblue ====== C: exe-files == 2013-05-22 15:51:20 825BF0E46B4470A463AEB641480C5FCA 117144 ----a-w- C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice_tmp.exe 2013-05-18 08:22:18 60C974CAB0662721C839F24B8955C21A 8434824 ----a-w- C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M5M8VNOQ\BingBarSetup-Partner[1].EXE 2013-05-18 08:22:18 60C974CAB0662721C839F24B8955C21A 8434824 ----a-w- C:\Program Files (x86)\Microsoft\BingBar\7.2.233.0oemBingBarSetup-Partner.EXE 2013-05-18 08:12:14 4D281765B778087FA06F5B6EEF9AD437 109038 ----a-w- C:\Users\Norbert\AppData\Local\Temp\tmpc2056113\gw01.exe 2013-05-17 21:11:13 FAB7563483D8F416FDFE15400D3F40B3 109038 ----a-w- C:\Users\Norbert\AppData\Local\Temp\tmp270e3a89\gw01.exe 2013-05-17 05:04:43 61AE3CFCD6EFDA9EADAB6B87CD6BC7DC 142848 ----a-w- C:\Windows\SysWOW64\ieUnatt.exe 2013-05-17 05:04:43 47BC290F4400C1741B1F26429A352C60 173056 ----a-w- C:\Windows\System32\ieUnatt.exe 2013-05-17 05:04:43 3F00BE80B9CEA20B7FE7363D15EDDB94 757360 ----a-w- C:\Program Files (x86)\Internet Explorer\iexplore.exe 2013-05-17 05:04:42 A1B0DEC3BB845C6369F97BC1A3542A07 763504 ----a-w- C:\Program Files\Internet Explorer\iexplore.exe 2013-05-17 04:48:58 4FC24A60868EBBECD9D5FDF39509BE4B 105703 ----a-w- C:\Users\Norbert\AppData\Local\Temp\tmp759ff464\gw01.exe 2013-05-15 19:47:40 55A8DFC7956EF8042C899E8C74FE5F15 100274 ----a-w- C:\Users\Norbert\AppData\Local\Temp\tmp934ebe0c\gw01.exe === C: other files == 2013-05-22 17:07:47 416F354DF5E6B0C4225E186CD06E6578 21686479 ----a-w- C:\Users\Public\Desktop\sample__1907.zip 2013-05-15 20:05:44 570DAA0D122E136209823FA8C042EF65 2774016 ----a-w- C:\Windows\System32\win32k.sys 2013-05-15 20:05:43 F3932288EEECD776FF1F9F653AD878F3 901496 ----a-w- C:\Windows\System32\drivers\dxgkrnl.sys ==== Startup Registry Enabled ====================== [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run] "WindowsWelcomeCenter"="rundll32.exe oobefldr.dll,ShowWelcomeCenter" "Sidebar"="%ProgramFiles%\Windows\Sidebar.exe /detectMem" [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run] "WindowsWelcomeCenter"="rundll32.exe oobefldr.dll,ShowWelcomeCenter" "Sidebar"="%ProgramFiles%\Windows\Sidebar.exe /detectMem" [HKEY_USERS\S-1-5-21-474512844-143842385-2892421710-1000\Software\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe" "swg"="C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" "Creative WebCam Tray"="C:\Program Files (x86)\Creative\Shared Files\CamTray.exe" "ehTray.exe"="C:\Windows\ehome\ehTray.exe" "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe ASO-616B5711-6DAE-4795-A05F-39A1E5104020" "Gaxiopw"="C:\Users\Norbert\AppData\Roaming\Soney\ilat.exe" "Ciwysoez"="C:\Users\Norbert\AppData\Roaming\Sykovo\quabn.exe" [HKEY_USERS\S-1-5-21-474512844-143842385-2892421710-1001\Software\Microsoft\Windows\CurrentVersion\Run] "WindowsWelcomeCenter"="rundll32.exe oobefldr.dll,ShowWelcomeCenter" "Sidebar"="%ProgramFiles%\Windows\Sidebar.exe /detectMem" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="C:\Program Files\Packard Bell\SetupMyPC\SmpSys.exe" "QuickTime Task"="C:\Program Files (x86)\QuickTime\QTTask.exe -atboottime" "iTunesHelper"="C:\Program Files (x86)\iTunes\iTunesHelper.exe" "C:\Windows\SysWOW64\V0260Ext.ax"="C:\Windows\system32\RegSvr32.exe /s C:\Windows\SysWOW64\V0260Ext.ax" "NBKeyScan"="C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" "Adobe ARM"="C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "HTC Sync Loader"="C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe -startup" "ApnUpdater"="C:\Program Files (x86)\Ask.com\Updater\Updater.exe" "avgnt"="C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe /min" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe" "swg"="C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" "Creative WebCam Tray"="C:\Program Files (x86)\Creative\Shared Files\CamTray.exe" "ehTray.exe"="C:\Windows\ehome\ehTray.exe" "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe ASO-616B5711-6DAE-4795-A05F-39A1E5104020" "Gaxiopw"="C:\Users\Norbert\AppData\Roaming\Soney\ilat.exe" "Ciwysoez"="C:\Users\Norbert\AppData\Roaming\Sykovo\quabn.exe" ==== Startup Registry Enabled x64 ====================== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NVRaidService"="C:\Windows\system32\nvraidservice.exe" "RtHDVCpl"="RAVCpl64.exe" "Skytel"="Skytel.exe" "FijiKeyboard"="c:\Acer\Preload\Autorun\DRV\FIJI Keyboard\ABoard.exe" "C:\Windows\system32\V0260Ext.ax"="C:\Windows\system32\RegSvr32.exe /s C:\Windows\system32\V0260Ext.ax" "Windows Defender"="%ProgramFiles%\Windows Defender\MSASCui.exe -hide" ==== Startup Folders ====================== 2012-11-08 05:51:48 2172 ----a-w- C:\users\Norbert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tbhcn.lnk 2009-03-30 18:35:19 847 ----a-w- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LUMIX Simple Viewer.lnk ==== Task Scheduler Jobs ====================== C:\Windows\tasks\Adobe Flash Player Updater.job --a------ C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [17.05.2013 07:02] C:\Windows\tasks\GoogleUpdateTaskMachineCore.job --a------ C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [05.09.2009 01:36] C:\Windows\tasks\GoogleUpdateTaskMachineUA.job --a------ C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [05.09.2009 01:36] C:\Windows\tasks\SpeedUpMyPC.job --a------ C:\Program Files (x86)\Uniblue\SpeedUpMyPC\sump.exe [17.04.2013 11:51] C:\Windows\tasks\spmonitor.job --a------ C: ;Q9C:\Program Files (x86)\Uniblue\SpeedUpMyPC\spmonitor.exe [] ==== Firefox Extensions ====================== ==== Firefox Plugins ====================== Profilepath: C:\Users\Norbert\AppData\Roaming\Mozilla\Firefox\Profiles\sh5dl7cg.default 7ABE33792F2787D599B6963E71B9E8CD - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll - Shockwave Flash 1B197A0ED28DB310AB67591567C3787A - C:\Windows\SysWOW64\npdeployJava1.dll - Java Deployment Toolkit 7.0.150.3 32A783FE8D78DB883368CA851E274DBE - C:\Windows\system32\Adobe\Director\np32dsw.dll - Shockwave for Director / Shockwave for Director AB87EEFFD18F2BAAFC274E7075EA6C67 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll - Windows Presentation Foundation / Windows Presentation Foundation DFCAB29E8FD38F95650CC1E203E8D318 - C:\Windows\SysWOW64\npmproxy.dll - Microsoft® Windows® Operating System ==== Chrome Look ====================== HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions bodddioamolcibagionmmobehnbhiakf - C:\Program Files (x86)\GinyasBrowserCompanion\blabbers-ch.crx[] lifbcibllhkdhoafpjfnlhfpfgnpldfl - C:\Program Files (x86)\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx[10.10.2011 12:09] Skype Click to Call - Norbert - Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl ==== Set IE to Default ====================== Old Values: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&s=1&o=vp64&d=0309&m=imedia_x6605_ge" "Default_Page_URL"="hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&s=1&o=vp64&d=0309&m=imedia_x6605_ge" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&s=1&o=vp64&d=0309&m=imedia_x6605_ge" "Default_Page_URL"="hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&s=1&o=vp64&d=0309&m=imedia_x6605_ge" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&s=1&o=vp64&d=0309&m=imedia_x6605_ge" "Default_Page_URL"="hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&s=1&o=vp64&d=0309&m=imedia_x6605_ge" New Values: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&s=1&o=vp64&d=0309&m=imedia_x6605_ge" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" "Default_Page_URL"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" "Default_Page_URL"="hxxp://go.microsoft.com/fwlink/?LinkId=69157" ==== All HKCU SearchScopes ====================== HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes "DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}" {0633EE93-D776-472f-A0FF-E1416B8B2E3A} Bing Url="hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" {67A2568C-7A0A-4EED-AECC-B5405DE63B64} Google Url="hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACPW_deDE320" {6A1806CD-94D4-4689-BA73-E35EA1EA9990} Google Url="hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}" ==== Deleting CLSID Registry Keys ====================== HKEY_USERS\S-1-5-21-474512844-143842385-2892421710-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{00cbb66b-1d3b-46d3-9577-323a336acb50} deleted successfully HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00cbb66b-1d3b-46d3-9577-323a336acb50} deleted successfully HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531} deleted successfully HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} deleted successfully ==== Deleting CLSID Registry Values ====================== HKEY_USERS\S-1-5-21-474512844-143842385-2892421710-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully HKEY_USERS\S-1-5-21-474512844-143842385-2892421710-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully ==== Deleting Registry Keys ====================== HKEY_LOCAL_MACHINE\SOFTWARE\wow6432node\Google\Chrome\Extensions\bodddioamolcibagionmmobehnbhiakf deleted successfully ==== Empty IE Cache ====================== C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully C:\Users\Norbert\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5 emptied successfully C:\Users\Norbert\AppData\Local\Temp\Low\Temporary Internet Files\Content.IE5 emptied successfully C:\Users\Norbert\AppData\Local\Temp\Temporary Internet Files\Content.IE5 emptied successfully C:\Users\UpdatusUser\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully C:\Windows\sysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully C:\Windows\serviceprofiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully C:\Windows\serviceprofiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully C:\Users\Norbert\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2UBLF1ID will be deleted at reboot C:\Users\Norbert\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat will be deleted at reboot ==== Empty FireFox Cache ====================== C:\users\Norbert\AppData\Local\Mozilla\Firefox\Profiles\sh5dl7cg.default\Cache emptied successfully ==== Empty Chrome Cache ====================== C:\users\Norbert\AppData\Local\Google\Chrome\User Data\Default\Cache emptied successfully ==== Empty All Flash Cache ====================== Flash Cache Emptied Successfully ==== Empty All Java Cache ====================== Java Cache cleared successfully ==== After Reboot ====================== ==== Empty Temp Folders ====================== C:\Windows\Temp successfully emptied C:\Users\Norbert\AppData\Local\Temp successfully emptied ==== Empty Recycle Bin ====================== C:\$RECYCLE.BIN successfully emptied ==== Deleting Files / Folders ====================== "C:\Users\Norbert\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat" not deleted "C:\Users\Norbert\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2UBLF1ID" not found ==== EOF on 22.05.2013 at 19:22:07,96 ====================== |
22.05.2013, 19:55 | #4 |
/// Malwareteam / Visitor | Auch ich habe den 100Tan Trojaner
Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
22.05.2013, 20:16 | #5 |
| Auch ich habe den 100Tan Trojaner anbei die Logs: wie sieht es denn aus mit meinem PC? Vielen Dank für Deine Hilfe Zoek: Code:
ATTFilter Zoek.exe Version 4.0.0.2 Updated 22-May-2013 Tool run by Norbert on 22.05.2013 at 21:03:33,06. Microsoft® Windows Vista™ Home Premium 6.0.6002 Service Pack 2 x64 Running in: Normal Mode Internet Access Detected ==== Older Logs ====================== C:\zoek-results22.05.2013-1922.log 22585 bytes ==== Registry Fix Code ====================== Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ApnUpdater"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Gaxiopw"=- "Ciwysoez"=- ==== Deleting Files \ Folders ====================== "C:\Users\Public\Desktop\sample__1907.zip" deleted "C:\users\Norbert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tbhcn.lnk" deleted ==== Startup Registry Enabled ====================== [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run] "WindowsWelcomeCenter"="rundll32.exe oobefldr.dll,ShowWelcomeCenter" "Sidebar"="%ProgramFiles%\Windows\Sidebar.exe /detectMem" [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run] "WindowsWelcomeCenter"="rundll32.exe oobefldr.dll,ShowWelcomeCenter" "Sidebar"="%ProgramFiles%\Windows\Sidebar.exe /detectMem" [HKEY_USERS\S-1-5-21-474512844-143842385-2892421710-1000\Software\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe" "swg"="C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" "Creative WebCam Tray"="C:\Program Files (x86)\Creative\Shared Files\CamTray.exe" "ehTray.exe"="C:\Windows\ehome\ehTray.exe" "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe ASO-616B5711-6DAE-4795-A05F-39A1E5104020" [HKEY_USERS\S-1-5-21-474512844-143842385-2892421710-1001\Software\Microsoft\Windows\CurrentVersion\Run] "WindowsWelcomeCenter"="rundll32.exe oobefldr.dll,ShowWelcomeCenter" "Sidebar"="%ProgramFiles%\Windows\Sidebar.exe /detectMem" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="C:\Program Files\Packard Bell\SetupMyPC\SmpSys.exe" "QuickTime Task"="C:\Program Files (x86)\QuickTime\QTTask.exe -atboottime" "iTunesHelper"="C:\Program Files (x86)\iTunes\iTunesHelper.exe" "C:\Windows\SysWOW64\V0260Ext.ax"="C:\Windows\system32\RegSvr32.exe /s C:\Windows\SysWOW64\V0260Ext.ax" "NBKeyScan"="C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" "Adobe ARM"="C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "HTC Sync Loader"="C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe -startup" "avgnt"="C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe /min" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "SmpcSys"="C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe" "swg"="C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" "Creative WebCam Tray"="C:\Program Files (x86)\Creative\Shared Files\CamTray.exe" "ehTray.exe"="C:\Windows\ehome\ehTray.exe" "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe ASO-616B5711-6DAE-4795-A05F-39A1E5104020" ==== Startup Registry Enabled x64 ====================== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NVRaidService"="C:\Windows\system32\nvraidservice.exe" "RtHDVCpl"="RAVCpl64.exe" "Skytel"="Skytel.exe" "FijiKeyboard"="c:\Acer\Preload\Autorun\DRV\FIJI Keyboard\ABoard.exe" "C:\Windows\system32\V0260Ext.ax"="C:\Windows\system32\RegSvr32.exe /s C:\Windows\system32\V0260Ext.ax" "Windows Defender"="%ProgramFiles%\Windows Defender\MSASCui.exe -hide" ==== Startup Folders ====================== 2009-03-30 18:35:19 847 ----a-w- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\LUMIX Simple Viewer.lnk ==== Task Scheduler Jobs ====================== C:\Windows\tasks\Adobe Flash Player Updater.job --a------ C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [17.05.2013 07:02] C:\Windows\tasks\GoogleUpdateTaskMachineCore.job --a------ C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [05.09.2009 01:36] C:\Windows\tasks\GoogleUpdateTaskMachineUA.job --a------ C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [05.09.2009 01:36] C:\Windows\tasks\SpeedUpMyPC.job --a------ C:\Program Files (x86)\Uniblue\SpeedUpMyPC\sump.exe [17.04.2013 11:51] C:\Windows\tasks\spmonitor.job --a------ C: -L9C:\Program Files (x86)\Uniblue\SpeedUpMyPC\spmonitor.exe [] ==== EOF on 22.05.2013 at 21:05:55,78 ====================== Code:
ATTFilter # AdwCleaner v2.301 - Datei am 22/05/2013 um 21:09:19 erstellt # Aktualisiert am 16/05/2013 von Xplode # Betriebssystem : Windows (TM) Vista Home Premium Service Pack 2 (64 bits) # Benutzer : Norbert - NORBERT-PC # Bootmodus : Normal # Ausgeführt unter : C:\Users\Norbert\Desktop\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Datei Gelöscht : C:\Windows\Tasks\SpeedUpMyPC.job Gelöscht mit Neustart : C:\Users\Norbert\AppData\Roaming\GinyasBrowserCompanion ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\APN Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar Schlüssel Gelöscht : HKCU\Software\Ask.com Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{E55B3271-7CA8-4D0C-AE06-69A24856E996}_is1 Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} Schlüssel Gelöscht : HKCU\Software\Softonic Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64} Schlüssel Gelöscht : HKLM\Software\APN Schlüssel Gelöscht : HKLM\Software\AskToolbar Schlüssel Gelöscht : HKLM\Software\BrowserCompanion Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{20EDC024-43C5-423E-B7F5-FD93523E0D9F} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\tdataprotocol.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\wit4ie.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1 Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\base64 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\chrome Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\prox Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\tdataprotocol.CTData Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\tdataprotocol.CTData.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\updatebho.TimerBHO Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\updatebho.TimerBHO.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wit4ie.WitBHO Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\wit4ie.WitBHO.2 Schlüssel Gelöscht : HKLM\Software\GinyasBrowserCompanion Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E55B3271-7CA8-4D0C-AE06-69A24856E996}_is1 Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\GinyasBrowserCompanion Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16483 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v21.0 (en-US) Datei : C:\Users\Norbert\AppData\Roaming\Mozilla\Firefox\Profiles\sh5dl7cg.default\prefs.js C:\Users\Norbert\AppData\Roaming\Mozilla\Firefox\Profiles\sh5dl7cg.default\user.js ... Gelöscht ! [OK] Die Datei ist sauber. -\\ Google Chrome v26.0.1410.64 Datei : C:\Users\Norbert\AppData\Local\Google\Chrome\User Data\Default\Preferences [OK] Die Datei ist sauber. ************************* AdwCleaner[S1].txt - [5257 octets] - [22/05/2013 21:09:19] ########## EOF - C:\AdwCleaner[S1].txt - [5317 octets] ########## |
22.05.2013, 20:26 | #6 |
/// Malwareteam / Visitor | Auch ich habe den 100Tan Trojaner Es sieht schon wieder ziemlich sauber aus Ich bin gespannt ob der nächsten Scan noch etwas findet: Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
Der Scan kann sehr lange (einige Stunden) dauern! Downloade Dir bitte SecurityCheck und:
|
22.05.2013, 22:23 | #7 |
| Auch ich habe den 100Tan Trojaner ESET online scan ergab keine Befunde :-) und hier das Dokument Security check: Code:
ATTFilter Results of screen317's Security Check version 0.99.63 Windows Vista Service Pack 2 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Java(TM) 6 Update 37 Java 7 Update 15 Java version out of Date! Adobe Flash Player 11.7.700.202 Adobe Reader 10.1.6 Adobe Reader out of Date! Mozilla Firefox (21.0) Google Chrome 26.0.1410.43 Google Chrome 26.0.1410.64 ````````Process Check: objlist.exe by Laurent```````` Windows Defender MSASCui.exe Avira Antivir avgnt.exe Avira Antivir avguard.exe system32 FirewallControlPanel.exe Windows Defender MSASCui.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` Gute Nacht und besten Dank für Deine Hilfe nochmals |
22.05.2013, 22:36 | #8 |
/// Malwareteam / Visitor | Auch ich habe den 100Tan Trojaner Mach mal diese Check: https://www.mozilla.org/de/plugincheck/ Veraltete Plugins aktualisieren lassen. Es is wichtig weil veraltete Software ein Sicherheitsrisiko ist. Meine Meinung nach sieht sonst alles wieder sauber aus und sind wir fertig |
23.05.2013, 17:08 | #9 |
| Auch ich habe den 100Tan Trojaner so, habe jetzt alles aktualisiert,w as er mir angezeigt hat. Beim Adobe Acrobat steht gelb veraltete Version, updaten. Er hat mir aber während dem Download geschrieben,das ich eine aktuellere Version geladen habe und abgebrochen? Habe aktuell Er zeigt mir, das ich folgende Version habe:Adobe PDF Plug-In For Firefox and Netscape 10.1.6 Darf ich noch ein paar abschließende Fragen stellen: -Soll ich all die Programme wieder entfernen? -Man hat mir gesagt, das intelligente Trojaner die Virenscanner täuschen und es dann so aussieht, als ob alles sauber ist und nichts mehr anzeigt. Kann ich trotzdem davon ausgehen, das alles sauber ist mit den Aktionen, die wir durchgeführt haben? -Soll ich sicherheitshalber alle Passwörter mal ändern von z.b. Paypal, ebay, Amazon etc.? -Kann ich wieder bedenkenlos Onlinebaking von diesem PC aus machen? Vielen Dank für Deine Hilfe. Dieses Forum und die schnelle Hilfe, die man hier erhält ist spitze. Ich bin echt begeistert. |
23.05.2013, 18:39 | #10 | |||
/// Malwareteam / Visitor | Auch ich habe den 100Tan TrojanerZitat:
Zitat:
Online Banking sollte eigentlich keine Problem sein müssen. Zitat:
Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Tools deinstallieren Die Reihenfolge ist hier entscheidend.
Abschließend noch Tipps zu folgenden Themen:
Lesestoff: Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff: Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff: Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
Lesestoff: Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Grüße Smeenk |
Themen zu Auch ich habe den 100Tan Trojaner |
avira, clean, csrss.exe, datei, desktop, explorer.exe, folge, free, keine viren, lsass.exe, modul, programm, prozesse, registry, rojaner gefunden, scan, services.exe, software, spoolsv.exe, svchost.exe, tan, tans, trojaner, versteckte, vista, windows, winlogon.exe |