| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.05.2013, 20:05
| #1 |
| |  GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Hallo hatte gestern den schon mehrfach belesenen GVU Trojaner bei mir auf dem Rechner, zumindest dieses fiese Standbild bei dem man auf nichts mehr zugreifen kann. Krz vorher schaltete sich krz die Webcam ein und machte ein Foto das ebenfalls auf dem Standbild zu sehen war. Ich habe den Rechner getilt und neu gestartet, hatte aber zu meinem Verwundern vollen Zugriff auf Desktop und alle Daten, sowie Internet und dergleichen. Jetzt stellt sich mir die Frage was kann dich tun um sicher zu sein das der Rechner sauber ist? Ich habe Zone Alarm und Avira Free Antivirus installiert. Bitte um Hilfe Gruß |
|
23.05.2013, 21:18
| #2 |
| /// TB-Ausbilder  | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw.!! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.  Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:  Bitte lesen:Regeln für die Bereinigung
Scan mit Combofix
__________________ |
|
24.05.2013, 10:18
| #3 |
| | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Hallo, alles so gemacht wie erwünscht, hoffe das stimmt nun so:
__________________Code:
ATTFilter ComboFix 13-05-24.01 - David 24.05.2013 10:53:03.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2046.976 [GMT 2:00]
ausgeführt von:: c:\users\David\Desktop\ComboFix.exe
AV: Lavasoft Ad-Aware *Disabled/Updated* {E0D97DD4-42BA-B3F2-A5A7-22E9ACE81FC7}
FW: Lavasoft Ad-Aware *Disabled* {D8E2FCF1-08D5-B2AA-8EF8-8BDC523B58BC}
FW: ZoneAlarm Free Firewall Firewall *Disabled* {E6380B7E-D4B2-19F1-083E-56486607704B}
SP: Lavasoft Ad-Aware *Disabled/Updated* {5BB89C30-6480-BC7C-9F17-199BD76F557A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\hpeB8E2.dll
c:\users\David\4.0
c:\users\David\AppData\Local\._Revolution_
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-04-24 bis 2013-05-24 ))))))))))))))))))))))))))))))
.
.
2013-05-24 09:04 . 2013-05-24 09:04 -------- d-----w- c:\users\Mulle\AppData\Local\temp
2013-05-24 09:04 . 2013-05-24 09:04 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-05-23 19:07 . 2013-05-23 19:07 -------- d-----w- c:\users\David\AppData\Roaming\LavasoftStatistics
2013-05-23 19:07 . 2013-05-23 19:07 -------- d-----w- c:\programdata\Ad-Aware Antivirus
2013-05-23 18:52 . 2013-05-23 18:52 -------- d-----w- c:\programdata\Lavasoft
2013-05-23 18:52 . 2013-05-23 19:07 -------- d-----w- c:\program files\Ad-Aware Antivirus
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\programdata\Downloaded Installations
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\programdata\Search Protection
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\users\David\AppData\Local\adawarebp
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\programdata\blekko toolbars
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\programdata\adawaretb
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\programdata\Ad-Aware Browsing Protection
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\program files\Toolbar Cleaner
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\users\David\AppData\Roaming\SecureSearch
2013-05-23 18:50 . 2013-05-23 18:51 -------- d-----w- c:\program files\adawaretb
2013-05-23 18:48 . 2013-05-23 18:48 44424 ----a-w- c:\windows\system32\sbbd.exe
2013-05-23 18:48 . 2013-05-23 18:48 13560 ----a-w- c:\windows\system32\drivers\gfibto.sys
2013-05-23 18:48 . 2013-05-24 03:52 -------- d-----w- c:\users\David\AppData\Roaming\Ad-Aware Antivirus
2013-05-23 13:23 . 2013-05-23 15:06 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2013-05-23 08:42 . 2013-05-23 08:42 -------- d-----w- c:\users\David\AppData\Roaming\Malwarebytes
2013-05-23 08:42 . 2013-05-23 08:42 -------- d-----w- c:\programdata\Malwarebytes
2013-05-23 08:42 . 2013-05-23 08:42 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-05-23 08:42 . 2013-04-04 12:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-05-22 17:24 . 2013-05-22 17:25 60872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C525E220-85A1-4918-8C70-0F9E1CFCFE10}\offreg.dll
2013-05-21 09:35 . 2013-05-13 06:19 7016152 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C525E220-85A1-4918-8C70-0F9E1CFCFE10}\mpengine.dll
2013-05-20 15:28 . 2013-05-24 08:42 -------- d-----w- c:\users\David\AppData\Roaming\DMCache
2013-05-20 15:28 . 2013-05-20 19:42 -------- d-----w- c:\users\David\AppData\Roaming\IDM
2013-05-20 15:28 . 2013-05-20 15:28 -------- d-----w- c:\programdata\IDM
2013-05-20 15:28 . 2013-05-20 15:28 -------- d-----w- c:\program files\Internet Download Manager
2013-05-20 10:10 . 2013-05-24 08:39 -------- d-----r- c:\users\David\Dropbox
2013-05-20 10:07 . 2013-05-20 10:07 -------- d-----w- c:\program files\Dropbox
2013-05-20 10:05 . 2013-05-24 08:39 -------- d-----w- c:\users\David\AppData\Roaming\Dropbox
2013-05-19 16:24 . 2013-05-19 16:24 -------- d-----w- c:\users\David\AppData\Roaming\SigmaDataCenter3.6A52D17A1C86211F195F60E94C15876515EBE62C.1
2013-05-19 16:21 . 2013-05-19 16:21 -------- d-----w- c:\program files\Sigma Data Center 3.0
2013-05-15 05:28 . 2013-04-05 11:32 101168 ----a-w- c:\windows\system32\drivers\idmwfp.sys
2013-05-14 16:30 . 2013-05-14 16:30 -------- d-----w- c:\users\David\AppData\Roaming\IrfanView
2013-05-14 16:30 . 2013-05-14 16:30 -------- d-----w- c:\program files\IrfanView
2013-05-13 16:31 . 2013-05-13 16:31 -------- d-----w- c:\program files\GeoSetter beta
2013-05-13 15:42 . 2013-05-13 16:18 -------- d-----w- c:\users\David\AppData\Roaming\GeoSetter
2013-05-13 15:42 . 2013-05-13 15:42 -------- d-----w- c:\program files\GeoSetter
2013-05-10 07:57 . 2013-05-10 07:57 187456 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2013-05-10 07:57 . 2013-05-10 07:57 187456 ----a-w- c:\program files\Internet Explorer\Plugins\nppdf32.dll
2013-05-01 08:22 . 2013-05-01 08:22 -------- d-----w- c:\programdata\GARMIN
2013-05-01 08:21 . 2013-05-01 08:21 -------- d-----w- c:\program files\Garmin GPS Plugin
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-16 08:46 . 2012-09-09 07:11 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-05-16 08:46 . 2011-08-14 07:23 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-02 00:06 . 2009-10-02 08:34 238872 ------w- c:\windows\system32\MpSigStub.exe
2013-03-15 08:45 . 2013-03-15 08:45 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-03-15 08:45 . 2012-06-17 06:47 861088 ----a-w- c:\windows\system32\npdeployJava1.dll
2013-03-15 08:45 . 2010-05-24 07:06 782240 ----a-w- c:\windows\system32\deployJava1.dll
2013-03-11 13:25 . 2013-04-10 19:03 3603816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-03-11 13:25 . 2013-04-10 19:03 3551080 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-03-09 03:45 . 2013-04-10 19:03 49152 ----a-w- c:\windows\system32\csrsrv.dll
2013-03-09 01:28 . 2013-04-10 19:03 64000 ----a-w- c:\windows\system32\smss.exe
2013-03-08 03:53 . 2013-04-10 19:02 376320 ----a-w- c:\windows\system32\winsrv.dll
2013-03-08 03:52 . 2013-04-10 19:02 2067968 ----a-w- c:\windows\system32\mstscax.dll
2013-03-03 19:07 . 2013-04-10 19:03 1082232 ----a-w- c:\windows\system32\drivers\ntfs.sys
2013-04-13 07:28 . 2013-04-13 07:28 263064 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{6c97a91e-4524-4019-86af-2aa2d567bf5c}"= "c:\program files\adawaretb\adawareDx.dll" [2013-02-11 87464]
.
[HKEY_CLASSES_ROOT\clsid\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
2013-02-11 10:47 87464 ----a-w- c:\program files\adawaretb\adawareDx.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6c97a91e-4524-4019-86af-2aa2d567bf5c}"= "c:\program files\adawaretb\adawareDx.dll" [2013-02-11 87464]
.
[HKEY_CLASSES_ROOT\clsid\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45 130736 ----a-w- c:\users\David\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45 130736 ----a-w- c:\users\David\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45 130736 ----a-w- c:\users\David\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension]
@="{CDC95B92-E27C-4745-A8C5-64A52A78855D}"
[HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}]
2012-11-15 23:07 21904 ----a-w- c:\program files\Internet Download Manager\IDMShellExt.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2013-04-25 3581816]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ad-Aware Antivirus"="c:\program files\Ad-Aware Antivirus\AdAwareLauncher --windows-run" [X]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 4874240]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]
"SunJavaUpdateReg"="c:\windows\system32\jureg.exe" [2007-04-07 54936]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdcBase.exe" [2007-05-31 648072]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-10-11 59280]
"ZoneAlarm"="c:\program files\CheckPoint\ZoneAlarm\zatray.exe" [2012-11-07 73392]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"Ad-Aware Browsing Protection"="c:\programdata\Ad-Aware Browsing Protection\adawarebp.exe" [2013-01-31 542632]
"SearchProtection"="c:\programdata\Search Protection\_run.bat" [2013-05-23 168]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2007-04-03 44168]
.
c:\users\David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\David\AppData\Roaming\Dropbox\bin\Dropbox.exe [2013-5-17 28711576]
Netzmanager.lnk - c:\program files\Netzmanager\netzmanager.exe [2012-7-20 14134784]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@="Ad-Aware Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2011-07-31 13:07 189808 ----a-w- c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaSuite.exe]
2012-10-13 00:54 1088424 ----a-w- c:\program files\Nokia\Nokia Suite\NokiaSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2011-12-09 17:22 74752 ----a-w- c:\program files\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2008-01-19 07:33 202240 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
S2 AAV UpdateService;AAV UpdateService;c:\program files\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [x]
S2 Ad-Aware Service;Ad-Aware Service;c:\program files\Ad-Aware Antivirus\AdAwareService.exe [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - GFIBTO
*Deregistered* - avipbb
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
getPlusHelper REG_MULTI_SZ getPlusHelper
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-24 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-09 08:46]
.
2013-05-20 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1438259101-413985610-1634307192-1000Core.job
- c:\users\David\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-22 07:36]
.
2013-05-24 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1438259101-413985610-1634307192-1000UA.job
- c:\users\David\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-04-22 07:36]
.
2013-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-10-29 09:57]
.
2013-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-10-29 09:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://securesearch.lavasoft.com/?source=f439e2c0&tbp=homepage&toolbarid=adawaretb&v=2_5&u=92603D34B9A79B5D25E8BA519E6501C8
mStart Page = hxxp://home.sweetim.com
IE: Download aller Links mit IDM - c:\program files\Internet Download Manager\IEGetAll.htm
IE: Download mit IDM - c:\program files\Internet Download Manager\IEExt.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: {{9FB232C5-6909-4F81-99B4-BAB4998940F2}
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\x73d8ni6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://securesearch.lavasoft.com/?source=f439e2c0&tbp=homepage&toolbarid=adawaretb&v=2_5&u=92603D34B9A79B5D25E8BA519E6501C8
FF - prefs.js: keyword.URL - hxxp://search.zonealarm.com/search?Source=Browser&oemCode=ZLN05427773083140-4901&toolbarId=base&affiliateId=1025&Lan=de&utid=acfd9b85000000000000001d60d12b4c&q={searchTerms}
FF - ExtSQL: 2013-04-13 16:53; {195A3098-0BD5-4e90-AE22-BA1C540AFD1E}; c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\x73d8ni6.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
FF - ExtSQL: 2013-05-20 17:28; mozilla_cc@internetdownloadmanager.com; c:\users\David\AppData\Roaming\IDM\idmmzcc5
FF - ExtSQL: 2013-05-23 20:51; {87934c42-161d-45bc-8cef-ef18abe2a30c}; c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\x73d8ni6.default\extensions\{87934c42-161d-45bc-8cef-ef18abe2a30c}
FF - ExtSQL: 2013-05-23 20:51; jid1-yZwVFzbsyfMrqQ@jetpack; c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\x73d8ni6.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
FF - ExtSQL: !HIDDEN! 2009-09-02 05:22; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: extensions.zonealarm.autoRvrt - false
FF - user.js: extensions.zonealarm_i.hmpg - true
FF - user.js: extensions.zonealarm.hmpgUrl - hxxp://search.zonealarm.com/?Source=Homepage&oemCode=ZLN05427773083140-4901&toolbarId=base&affiliateId=1025&Lan=de&utid=acfd9b85000000000000001d60d12b4c
FF - user.js: extensions.zonealarm.dfltSrch - true
FF - user.js: extensions.zonealarm.srchPrvdr - Search By ZoneAlarm
FF - user.js: extensions.zonealarm.keyWordUrl - hxxp://search.zonealarm.com/search?Source=Browser&oemCode=ZLN05427773083140-4901&toolbarId=base&affiliateId=1025&Lan=de&utid=acfd9b85000000000000001d60d12b4c&q={searchTerms}
FF - user.js: extensions.zonealarm_i.dnsErr - true
FF - user.js: extensions.zonealarm_i.newTab - true
FF - user.js: extensions.zonealarm.newTabUrl - hxxp://search.zonealarm.com/?Source=Newtab&oemCode=ZLN05427773083140-4901&toolbarId=base&affiliateId=1025&Lan=de&utid=acfd9b85000000000000001d60d12b4c
FF - user.js: extensions.zonealarm.tlbrSrchUrl - hxxp://search.zonealarm.com/search?Source=ToolBar&oemCode=ZLN05427773083140-4901&toolbarId=base&affiliateId=1025&Lan={dfltLng}&utid=acfd9b85000000000000001d60d12b4c&q=
FF - user.js: extensions.zonealarm.id - acfd9b85000000000000001d60d12b4c
FF - user.js: extensions.zonealarm.instlDay - 15721
FF - user.js: extensions.zonealarm.vrsn - 1.6.7.4
FF - user.js: extensions.zonealarm.vrsni - 1.6.7.4
FF - user.js: extensions.zonealarm_i.vrsnTs - 1.6.7.415:53
FF - user.js: extensions.zonealarm.prtnrId - checkpoint
FF - user.js: extensions.zonealarm.prdct - zonealarm
FF - user.js: extensions.zonealarm.aflt - 1025
FF - user.js: extensions.zonealarm_i.smplGrp - none
FF - user.js: extensions.zonealarm.tlbrId - base
FF - user.js: extensions.zonealarm.instlRef - ZLN05427773083140-4901
FF - user.js: extensions.zonealarm.dfltLng - de
FF - user.js: extensions.zonealarm.excTlbr - false
FF - user.js: extensions.zonealarm.admin - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - (no file)
HKLM-Run-ISW - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Hattrick Organizer - g:\ho\HO012013\HattrickOrganizer\Uninstall.exe
AddRemove-{ABB7F245-0A53-43F5-A961-5EA9661B8EE7}_is1 - k:\.netchviewer\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-05-24 11:04
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
c:\windows\TEMP\TMP0000001F0E48DA2B12D625F2 524288 bytes
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{6064a0c1-c251-4d2a-916f-2bb8ab0e941e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0c001bfc
"Dhcpv6State"=dword:00000001
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{923bdd02-a48a-4397-b25e-9746095f9ee3}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:0d020054
"Dhcpv6State"=dword:00000001
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:07001422
"Dhcpv6State"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
@DACL=(02 0000)
"Dhcpv6Iaid"=dword:06001422
"Dhcpv6State"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(712)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
Zeit der Fertigstellung: 2013-05-24 11:06:55
ComboFix-quarantined-files.txt 2013-05-24 09:06
.
Vor Suchlauf: 12 Verzeichnis(se), 321.864.368.128 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 321.954.025.472 Bytes frei
.
- - End Of File - - 8082951B5B03D73A6A184F861C1D2F13
Geändert von Funtomas (24.05.2013 um 10:28 Uhr) |
|
24.05.2013, 11:57
| #4 |
| /// TB-Ausbilder | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Hi Du hast 2 Firewalls, das ist nicht gut: Deinstalliere ZoneAlarm Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Deinstallation von Programmen
Schritt 2: Combofix-Skript
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
24.05.2013, 15:31
| #5 |
| | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Hallo Upload erfolgte erfolgreich... Combofix Logfile: Code:
ATTFilter ComboFix 13-05-24.01 - David 24.05.2013 16:05:11.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2046.1081 [GMT 2:00]
ausgeführt von:: c:\users\David\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\David\Desktop\CFScript.txt
AV: Lavasoft Ad-Aware *Disabled/Updated* {E0D97DD4-42BA-B3F2-A5A7-22E9ACE81FC7}
FW: Lavasoft Ad-Aware *Disabled* {D8E2FCF1-08D5-B2AA-8EF8-8BDC523B58BC}
SP: Lavasoft Ad-Aware *Disabled/Updated* {5BB89C30-6480-BC7C-9F17-199BD76F557A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
file zipped: c:\programdata\Search Protection\_run.bat
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Search Protection
c:\programdata\Search Protection\_run.bat
c:\programdata\Search Protection\SearchProtection.exe
c:\programdata\Search Protection\SearchProtection.ini
c:\users\David\AppData\Roaming\skype.ini
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-04-24 bis 2013-05-24 ))))))))))))))))))))))))))))))
.
.
2013-05-24 14:17 . 2013-05-24 14:20 -------- d-----w- c:\users\David\AppData\Local\temp
2013-05-24 14:17 . 2013-05-24 14:17 -------- d-----w- c:\users\Mulle\AppData\Local\temp
2013-05-24 14:17 . 2013-05-24 14:17 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-05-24 13:23 . 2013-05-24 13:23 -------- d-----w- c:\users\David\AppData\Roaming\InstallShield
2013-05-24 12:00 . 2013-05-24 12:00 0 ----a-w- c:\windows\system32\REN35F0.tmp
2013-05-24 12:00 . 2013-05-24 12:00 0 ----a-w- c:\windows\system32\REN35EF.tmp
2013-05-24 12:00 . 2013-05-24 12:00 0 ----a-w- c:\windows\system32\REN35EE.tmp
2013-05-23 19:07 . 2013-05-23 19:07 -------- d-----w- c:\users\David\AppData\Roaming\LavasoftStatistics
2013-05-23 19:07 . 2013-05-23 19:07 -------- d-----w- c:\programdata\Ad-Aware Antivirus
2013-05-23 18:52 . 2013-05-23 18:52 -------- d-----w- c:\programdata\Lavasoft
2013-05-23 18:52 . 2013-05-23 19:07 -------- d-----w- c:\program files\Ad-Aware Antivirus
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\programdata\Downloaded Installations
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\users\David\AppData\Local\adawarebp
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\programdata\blekko toolbars
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\programdata\adawaretb
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\programdata\Ad-Aware Browsing Protection
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\program files\Toolbar Cleaner
2013-05-23 18:51 . 2013-05-23 18:51 -------- d-----w- c:\users\David\AppData\Roaming\SecureSearch
2013-05-23 18:50 . 2013-05-23 18:51 -------- d-----w- c:\program files\adawaretb
2013-05-23 18:48 . 2013-05-23 18:48 44424 ----a-w- c:\windows\system32\sbbd.exe
2013-05-23 18:48 . 2013-05-23 18:48 13560 ----a-w- c:\windows\system32\drivers\gfibto.sys
2013-05-23 18:48 . 2013-05-24 03:52 -------- d-----w- c:\users\David\AppData\Roaming\Ad-Aware Antivirus
2013-05-23 13:23 . 2013-05-23 15:06 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2013-05-23 08:42 . 2013-05-23 08:42 -------- d-----w- c:\users\David\AppData\Roaming\Malwarebytes
2013-05-23 08:42 . 2013-05-23 08:42 -------- d-----w- c:\programdata\Malwarebytes
2013-05-22 17:24 . 2013-05-22 17:25 60872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C525E220-85A1-4918-8C70-0F9E1CFCFE10}\offreg.dll
2013-05-21 09:35 . 2013-05-13 06:19 7016152 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C525E220-85A1-4918-8C70-0F9E1CFCFE10}\mpengine.dll
2013-05-20 15:28 . 2013-05-24 12:17 -------- d-----w- c:\users\David\AppData\Roaming\DMCache
2013-05-20 15:28 . 2013-05-20 15:28 -------- d-----w- c:\programdata\IDM
2013-05-20 10:10 . 2013-05-24 13:22 -------- d-----r- c:\users\David\Dropbox
2013-05-20 10:07 . 2013-05-20 10:07 -------- d-----w- c:\program files\Dropbox
2013-05-20 10:05 . 2013-05-24 14:20 -------- d-----w- c:\users\David\AppData\Roaming\Dropbox
2013-05-19 16:24 . 2013-05-19 16:24 -------- d-----w- c:\users\David\AppData\Roaming\SigmaDataCenter3.6A52D17A1C86211F195F60E94C15876515EBE62C.1
2013-05-19 16:21 . 2013-05-19 16:21 -------- d-----w- c:\program files\Sigma Data Center 3.0
2013-05-14 16:30 . 2013-05-14 16:30 -------- d-----w- c:\users\David\AppData\Roaming\IrfanView
2013-05-14 16:30 . 2013-05-14 16:30 -------- d-----w- c:\program files\IrfanView
2013-05-13 16:31 . 2013-05-13 16:31 -------- d-----w- c:\program files\GeoSetter beta
2013-05-13 15:42 . 2013-05-13 16:18 -------- d-----w- c:\users\David\AppData\Roaming\GeoSetter
2013-05-13 15:42 . 2013-05-13 15:42 -------- d-----w- c:\program files\GeoSetter
2013-05-10 07:57 . 2013-05-10 07:57 187456 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
2013-05-10 07:57 . 2013-05-10 07:57 187456 ----a-w- c:\program files\Internet Explorer\Plugins\nppdf32.dll
2013-05-01 08:22 . 2013-05-01 08:22 -------- d-----w- c:\programdata\GARMIN
2013-05-01 08:21 . 2013-05-01 08:21 -------- d-----w- c:\program files\Garmin GPS Plugin
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-16 08:46 . 2012-09-09 07:11 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-05-16 08:46 . 2011-08-14 07:23 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-02 00:06 . 2009-10-02 08:34 238872 ------w- c:\windows\system32\MpSigStub.exe
2013-03-15 08:45 . 2013-03-15 08:45 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-03-15 08:45 . 2012-06-17 06:47 861088 ----a-w- c:\windows\system32\npdeployJava1.dll
2013-03-15 08:45 . 2010-05-24 07:06 782240 ----a-w- c:\windows\system32\deployJava1.dll
2013-03-11 13:25 . 2013-04-10 19:03 3603816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-03-11 13:25 . 2013-04-10 19:03 3551080 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-03-09 03:45 . 2013-04-10 19:03 49152 ----a-w- c:\windows\system32\csrsrv.dll
2013-03-09 01:28 . 2013-04-10 19:03 64000 ----a-w- c:\windows\system32\smss.exe
2013-03-08 03:53 . 2013-04-10 19:02 376320 ----a-w- c:\windows\system32\winsrv.dll
2013-03-08 03:52 . 2013-04-10 19:02 2067968 ----a-w- c:\windows\system32\mstscax.dll
2013-03-03 19:07 . 2013-04-10 19:03 1082232 ----a-w- c:\windows\system32\drivers\ntfs.sys
2013-04-13 07:28 . 2013-04-13 07:28 263064 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{6c97a91e-4524-4019-86af-2aa2d567bf5c}"= "c:\program files\adawaretb\adawareDx.dll" [2013-02-11 87464]
.
[HKEY_CLASSES_ROOT\clsid\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
2013-02-11 10:47 87464 ----a-w- c:\program files\adawaretb\adawareDx.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6c97a91e-4524-4019-86af-2aa2d567bf5c}"= "c:\program files\adawaretb\adawareDx.dll" [2013-02-11 87464]
.
[HKEY_CLASSES_ROOT\clsid\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45 130736 ----a-w- c:\users\David\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45 130736 ----a-w- c:\users\David\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45 130736 ----a-w- c:\users\David\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ad-Aware Antivirus"="c:\program files\Ad-Aware Antivirus\AdAwareLauncher --windows-run" [X]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 4874240]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]
"SunJavaUpdateReg"="c:\windows\system32\jureg.exe" [2007-04-07 54936]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdcBase.exe" [2007-05-31 648072]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-10-11 59280]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"Ad-Aware Browsing Protection"="c:\programdata\Ad-Aware Browsing Protection\adawarebp.exe" [2013-01-31 542632]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2007-04-03 44168]
.
c:\users\David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\David\AppData\Roaming\Dropbox\bin\Dropbox.exe [2013-5-17 28711576]
Netzmanager.lnk - c:\program files\Netzmanager\netzmanager.exe [2012-7-20 14134784]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@="Ad-Aware Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2011-07-31 13:07 189808 ----a-w- c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaSuite.exe]
2012-10-13 00:54 1088424 ----a-w- c:\program files\Nokia\Nokia Suite\NokiaSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2008-01-19 07:33 202240 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
S2 Ad-Aware Service;Ad-Aware Service;c:\program files\Ad-Aware Antivirus\AdAwareService.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
getPlusHelper REG_MULTI_SZ getPlusHelper
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-24 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-09 08:46]
.
2013-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-10-29 09:57]
.
2013-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-10-29 09:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://securesearch.lavasoft.com/?source=f439e2c0&tbp=homepage&toolbarid=adawaretb&v=2_5&u=92603D34B9A79B5D25E8BA519E6501C8
mStart Page = hxxp://home.sweetim.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: {{9FB232C5-6909-4F81-99B4-BAB4998940F2}
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\x73d8ni6.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://securesearch.lavasoft.com/?source=f439e2c0&tbp=homepage&toolbarid=adawaretb&v=2_5&u=92603D34B9A79B5D25E8BA519E6501C8
FF - ExtSQL: 2013-04-13 16:53; {195A3098-0BD5-4e90-AE22-BA1C540AFD1E}; c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\x73d8ni6.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
FF - ExtSQL: 2013-05-23 20:51; {87934c42-161d-45bc-8cef-ef18abe2a30c}; c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\x73d8ni6.default\extensions\{87934c42-161d-45bc-8cef-ef18abe2a30c}
FF - ExtSQL: 2013-05-23 20:51; jid1-yZwVFzbsyfMrqQ@jetpack; c:\users\David\AppData\Roaming\Mozilla\Firefox\Profiles\x73d8ni6.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
FF - ExtSQL: !HIDDEN! 2009-09-02 05:22; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: extensions.zonealarm.autoRvrt - false
FF - user.js: extensions.zonealarm_i.hmpg - true
FF - user.js: extensions.zonealarm.hmpgUrl - hxxp://search.zonealarm.com/?Source=Homepage&oemCode=ZLN05427773083140-4901&toolbarId=base&affiliateId=1025&Lan=de&utid=acfd9b85000000000000001d60d12b4c
FF - user.js: extensions.zonealarm.dfltSrch - true
FF - user.js: extensions.zonealarm.srchPrvdr - Search By ZoneAlarm
FF - user.js: extensions.zonealarm.keyWordUrl - hxxp://search.zonealarm.com/search?Source=Browser&oemCode=ZLN05427773083140-4901&toolbarId=base&affiliateId=1025&Lan=de&utid=acfd9b85000000000000001d60d12b4c&q={searchTerms}
FF - user.js: extensions.zonealarm_i.dnsErr - true
FF - user.js: extensions.zonealarm_i.newTab - true
FF - user.js: extensions.zonealarm.newTabUrl - hxxp://search.zonealarm.com/?Source=Newtab&oemCode=ZLN05427773083140-4901&toolbarId=base&affiliateId=1025&Lan=de&utid=acfd9b85000000000000001d60d12b4c
FF - user.js: extensions.zonealarm.tlbrSrchUrl - hxxp://search.zonealarm.com/search?Source=ToolBar&oemCode=ZLN05427773083140-4901&toolbarId=base&affiliateId=1025&Lan={dfltLng}&utid=acfd9b85000000000000001d60d12b4c&q=
FF - user.js: extensions.zonealarm.id - acfd9b85000000000000001d60d12b4c
FF - user.js: extensions.zonealarm.instlDay - 15721
FF - user.js: extensions.zonealarm.vrsn - 1.6.7.4
FF - user.js: extensions.zonealarm.vrsni - 1.6.7.4
FF - user.js: extensions.zonealarm_i.vrsnTs - 1.6.7.415:53
FF - user.js: extensions.zonealarm.prtnrId - checkpoint
FF - user.js: extensions.zonealarm.prdct - zonealarm
FF - user.js: extensions.zonealarm.aflt - 1025
FF - user.js: extensions.zonealarm_i.smplGrp - none
FF - user.js: extensions.zonealarm.tlbrId - base
FF - user.js: extensions.zonealarm.instlRef - ZLN05427773083140-4901
FF - user.js: extensions.zonealarm.dfltLng - de
FF - user.js: extensions.zonealarm.excTlbr - false
FF - user.js: extensions.zonealarm.admin - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-ZoneAlarm Installer - c:\program files\CheckPoint\Install\Launcher.exe
HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre7\bin\jusched.exe
MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-05-24 16:22
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FirefoxHTML"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(5164)
c:\programdata\Ad-Aware Browsing Protection\adawarebp.dll
c:\users\David\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe
c:\program files\TomTom HOME 2\TomTomHOMEService.exe
c:\windows\System32\WUDFHost.exe
c:\windows\RtHDVCpl.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\schtasks.exe
c:\progra~1\AD-AWA~1\AdAware.exe
c:\program files\Ad-Aware Antivirus\SBAMSvc.exe
c:\hp\kbd\kbd.exe
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-05-24 16:27:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-05-24 14:27
ComboFix2.txt 2013-05-24 09:06
.
Vor Suchlauf: 16 Verzeichnis(se), 352.080.027.648 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 351.437.500.416 Bytes frei
.
- - End Of File - - 35A0A90EDFD6F37C6E8A87B59099550B
Hochladen war erfolgreich [/CODE] |
|
24.05.2013, 15:52
| #6 |
| /// TB-Ausbilder | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Du hast Zonealarm entfernt aber die dazugehörige Toolbar willst du lassen?
__________________ --> GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. |
|
24.05.2013, 19:04
| #7 |
| | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Wie soll ich ich die weg bekommen? Ist die seperat installiert? |
|
24.05.2013, 20:08
| #8 |
| /// TB-Ausbilder | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Müßte eigentlich extra aufgeführt sein, ist aber auch nicht tragisch. Gut!  Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten. Schritt 1: Quick-Scan mit Malwarebytes Downloade Dir bitteSchritt 2: Hinweis: Der Scan kann sehr lange (einige Stunden) dauern!  Schritt 3: Scan mit SecurityCheck Downloade Dir bitte  SecurityCheck und:
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
25.05.2013, 11:30
| #9 |
| | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. So alle Anweisungen befolgt. Schritt1: Ergebniss Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.05.24.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 8.0.6001.19418 David :: DAVID-PC [Administrator] 24.05.2013 21:26:41 mbam-log-2013-05-24 (21-26-41).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 424466 Laufzeit: 1 Stunde(n), 45 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=fc17ee03d757cd4ba583bbd0e8ab96cc
# engine=13907
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-25 06:34:23
# local_time=2013-05-25 08:34:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 220172 206996391 0 0
# scanned=267869
# found=1
# cleaned=0
# scan_time=9719
sh=6564303385460058C416E80E3BE244F45941DE7E ft=1 fh=904c39071ddda1d3 vn="probably a variant of Win32/PSW.Delf.LRSQGKL trojan" ac=I fn="F:\Schlumpf Spieleordner\World of Warcraft(max)\Updater.exe"
Code:
ATTFilter Results of screen317's Security Check version 0.99.63 Windows Vista Service Pack 2 x86 (UAC is enabled) Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Lavasoft Ad-Aware Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Ad-Aware Malwarebytes Anti-Malware Version 1.75.0.1300 Java 7 Update 17 Java version out of Date! Adobe Flash Player 11.7.700.202 Adobe Reader 10.1.7 Adobe Reader out of Date! Mozilla Firefox (21.0) ````````Process Check: objlist.exe by Laurent```````` Ad-Aware AAWService.exe is disabled! Ad-Aware AAWTray.exe is disabled! Ad-Aware Antivirus AdAwareService.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` |
|
25.05.2013, 11:52
| #10 |
| /// TB-Ausbilder | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Der Updater ist versucht. Bitte löschen. Prima! Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren Die Reihenfolge ist hier entscheidend.
Schritt 2: ESET deinstallieren (Optional)
Schritt 3: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können. Schritt 4: Update: Internetexplorer Auch wenn du einen anderen Browser benutzt, Windows benutzt intern den Internetexplorer!
Abschließend noch Tipps zu folgenden Themen:
Lesestoff:Systemupdates Man kann es gar nicht oft genug erwähnen, wie wichtig es ist, sein System aktuell zu halten. Dein Auto bringst du ja auch regelmässig zur Inspektion in die Werkstatt. Stelle also bitte sicher, dass die Systemupdates aktiviert sind:
Lesestoff:Softwareupdates Ebenso wichtig wie die Systemprogramme ist auch die Software, die du täglich nutzt. Die folgende Liste gibt dir einen kleinen Überblick mit Links zu den Updates, welche Programme dringend aktuell gehalten werden müssen (falls du sie überhaupt installiert hast und nutzt), weil durch deren Sicherheitslücken oft Malware auf die Computer gelangen kann:
Lesestoff:Sicherheitssoftware Würde dich jemand nackt auf dem Motorrad auf der Autobahn überholen würdest du auch den Kopf schütteln. Dein Computer braucht auch einen Schutz vor den täglichen kleinen Angriffen durch Schädlinge. Neben hervorragenden kommerziellen Anti-Viren-Lösungen gibt es auch durchaus gute Schutzprogramme, die kostenfrei mit reduziertem Funktionsumfang erhältlich sind. Aber vorsicht, hier gilt nicht "je mehr desto besser". Was du brauchst ist genau einen Virenscanner mit Hintergrundwächter. Nicht mehr und nicht weniger. Es gibt hier viele Produkte auf dem Markt, die einem gute Dienste leisten. Ich persönlich empfehle dir Avast Free Antivirus. Es bietet relativ guten Schutz, bei wenig nerviger Werbung und installiert dir ein Browserplugin, das dich vor gefährlichen Webseiten warnt.
 Lesestoff:Sicheres Surfen Zunächst muss man sagen, dass es üblicherweise immer der menschliche Faktor ist, der es Malware ermöglicht auf einen Computer zu gelangen. Kaufst du Leuten, die an deiner Haustür klingeln, auch sofort ohne nachzudenken irgendwelches Zeug ab? Gewöhne dir daher zunächst einige Verhaltensregeln beim Surfen im Internet an:
Aber selbst bei der peinlichen Einhaltung dieser Regeln kann es dennoch zu einer sogenannten Drive-By-Infektion kommen, bei der ein Schädling aus dem Schutzmechanismus des Webbrowsers ausbricht. Um die Sicherheit noch weiter zu erhöhen gibt es spezielle Schutzsoftware, die deinen Browser noch weiter absichert.
Zuletzt denke bitte über die Benutzung eines alternativen Browsers nach. Programme, die nicht so oft verwendet werden, sind auch nicht so sehr im Focus der "bösen Jungs". D.h. du bist mit einem exotischen Browser eher auf der sicheren Seite. Grundsätzlich bist du erst einmal deutlich sicherer, wenn du nicht den Internet Explorer benutzt.
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
25.05.2013, 12:50
| #11 |
| | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Vielen Dank bis hierher. Aber ein paar Fragen hätte ich noch. Windows hat ja eine Systemeigene Firewall, ist es empfehlenswert diese zu aktivieren oder besser durch eine andere zu erstezen. Welche Software (als Bezahlversion) kannst Du mir empfehlen? Dachte an Kasperski  Welche Programme empfiehlst Du mir ins Sachen Firewall und was für Antivir? |
|
25.05.2013, 15:25
| #12 |
| /// TB-Ausbilder | GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. Die Winfirewall reicht vollkommen aus. Wenn du bezahlen willst, sind Emsisoft oder ESET sehr empfehlenswert. Schön, dass wir helfen konnten  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
| Themen zu GVU Trojanerbildschirm aber dennoch vollen Zugirff auf Desktop usw. |
| alarm, antivirus, daten, desktop, ebenfalls, foto, frage, gestartet, gestern, gvu trojanerbildschirm, internet, mehrfach, neu, nichts, rechner, standbild, webcam, zone alarm, zugirff auf desktop, zugriff |
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Linear-Darstellung
