http://search.fbdownloader.com/?channel=de als neue Startseite

M-K-D-B · 31.07.2014, 18:04

Servus,

Programm von einem anderen Rechner downloaden und per USB-Stick auf den Problemrechner kopieren (> Desktop):

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Anne-Sue · 01.08.2014, 10:02

Hallo!

Ich werde es wahrscheinlich erst am Montag schaffen; melde mich dann mit den Ergebnissen

Schönes Wochenende

M-K-D-B · 01.08.2014, 10:57

Servus,

dir auch ein schönes Wochenende.

Bis Montag.

Anne-Sue · 04.08.2014, 06:29

Hallo!
Da bin ich wieder...

Ich habe grad versucht über den Link Crombofix direkt auf den USB-Stick zu speichern.
Erst mal wurde ich gewarnt diese webside zu besuchen; dann hat das Virenprogramm auf dem PC, von dem ich grad arbeite, einen Trojaner entdeckt und in Quarantäne verschoben.
Wenn ich jetzt dem Link folge lande ich auf auf der Seite: hxxp://www.linkeyproject.com/app/
Kann ich Crombofix überhaupt guten Gewissens runterladen? Was ist das für ein Programm?
Wenn ich auf diesen Rechner auch noch einen Trojaner installiere krieg ich, glaub ich, Haue....:-)

M-K-D-B · 04.08.2014, 09:37

Servus,

deaktiviere dein AV-Programm, bevor du ComboFix downloadest bzw. auf den Desktop kopierst... das ist ein Fehlalarm von Avira.

Wir entfernen hier Malware und bringen keine neue auf deinen Rechner.

Hier ein alternativer Downloadlink: ComboFix - Download (dauert womöglich 2-3 Sekunden, bis das kleine Downloadfenster kommt)

Anne-Sue · 04.08.2014, 13:35

ok, Combofix läuft grad auf meinem Rechner.
Ich habe aber mal eine Frage zwischendurch:
ich habe heute festgestellt, dass man an diesem PC an dem ich grad diese Antwort verfasse, immer öfters, wenn man einem Link folgen will, auf folgender seite landet:
hxxp://www.linkeyproject.com/app/

Ist das auch ein Trojaner?

M-K-D-B · 04.08.2014, 13:40

Zitat:

Zitat von Anne-Sue

ich habe heute festgestellt, dass man an diesem PC an dem ich grad diese Antwort verfasse, immer öfters, wenn man einem Link folgen will, auf folgender seite landet:
hxxp://www.linkeyproject.com/app/

Ist das auch ein Trojaner?

Von welchem Link sprichst du?
Welchem Link bist du auf welcher Seite gefolgt?

Anne-Sue · 04.08.2014, 14:06

hier der Log

Code:

ATTFilter

ComboFix 14-08-02.02 - Susi 04.08.2014  14:31:39.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3066.1445 [GMT 2:00]
ausgeführt von:: J:\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}
SP: Avira Desktop *Disabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\programdata\Roaming\Intel\Wireless\Settings\Settings.ini
c:\users\Susi\Favorites\antivir_workstation_winu_de_h.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2014-07-04 bis 2014-08-04  ))))))))))))))))))))))))))))))
.
.
2014-08-04 12:41 . 2014-08-04 12:41	--------	d-----w-	c:\users\kos\AppData\Local\temp
2014-08-04 12:41 . 2014-08-04 12:41	--------	d-----w-	c:\users\Default\AppData\Local\temp
2014-07-29 17:26 . 2014-08-04 05:07	110296	----a-w-	c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-07-29 17:26 . 2014-07-29 17:26	--------	d-----w-	c:\program files\ Malwarebytes Anti-Malware 
2014-07-29 17:26 . 2014-07-29 17:26	--------	d-----w-	c:\programdata\Malwarebytes
2014-07-29 17:26 . 2014-05-12 05:26	51928	----a-w-	c:\windows\system32\drivers\mwac.sys
2014-07-29 17:26 . 2014-05-12 05:25	74456	----a-w-	c:\windows\system32\drivers\mbamchameleon.sys
2014-07-29 17:26 . 2014-05-12 05:25	23256	----a-w-	c:\windows\system32\drivers\mbam.sys
2014-07-29 17:12 . 2010-08-30 06:34	536576	----a-w-	c:\windows\system32\sqlite3.dll
2014-07-29 17:11 . 2014-07-29 17:13	--------	d-----w-	C:\AdwCleaner
2014-07-28 19:32 . 2014-07-28 19:32	--------	d-----w-	c:\program files\7-Zip
2014-07-28 19:04 . 2014-07-31 13:46	--------	d-----w-	C:\FRST
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-07-10 16:41 . 2013-10-15 17:48	71344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2014-07-10 16:41 . 2013-10-15 17:48	699056	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2014-06-24 12:54 . 2013-05-17 05:29	97648	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2014-05-27 10:39 . 2013-05-17 05:29	136216	----a-w-	c:\windows\system32\drivers\avipbb.sys
2007-03-12 17:59 . 2007-03-12 17:59	299008	----a-w-	c:\program files\navigram_register.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2014-06-24 22:04	131480	----a-w-	c:\users\Susi\AppData\Roaming\Dropbox\bin\DropboxExt.24.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2014-06-24 22:04	131480	----a-w-	c:\users\Susi\AppData\Roaming\Dropbox\bin\DropboxExt.24.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2014-06-24 22:04	131480	----a-w-	c:\users\Susi\AppData\Roaming\Dropbox\bin\DropboxExt.24.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2010-11-01 102400]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-08 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2014-05-08 21444224]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-08 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-08 92704]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-13 30192]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2010-03-12 49208]
"TkBellExe"="c:\program files\real\realplayer\Update\realsched.exe" [2012-11-11 296096]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2013-05-08 41056]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2014-06-24 750160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-07-02 254336]
.
c:\users\Susi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Susi\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2014-7-21 35464216]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\3.8.150\SSScheduler.exe [2014-4-9 279456]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMSWISSARMY
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-03-17 08:56	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2014-08-04 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-10-15 16:41]
.
2014-08-04 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-12-03 17:47]
.
2014-08-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-25 11:23]
.
2014-08-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-25 11:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-UniblueRegistryBooster - c:\program files\Uniblue\RegistryBooster\launcher.exe
HKLM-Run-NPSStartup - (no file)
HKLM-Run-ZoneAlarm Installer - c:\program files\CheckPoint\Install\Launcher.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Budget - c:\windows\unin0407.exe
AddRemove-ExpressRip - c:\program files\NCH Software\ExpressRip\uninst.exe
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}\bm_installer.exe
AddRemove-{E63E34A7-E552-412B-9E40-FD6FC5227ABA}_is1 - c:\program files\Uniblue\RegistryBooster\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-08-04 14:42
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2014-08-04  14:47:05
ComboFix-quarantined-files.txt  2014-08-04 12:47
.
Vor Suchlauf: 13 Verzeichnis(se), 70.240.911.360 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 70.207.758.336 Bytes frei
.
- - End Of File - - 4B02E9279FC73E6B5A3461240C5B55D9
61A349592C4728853F4A90FF78F7628E

M-K-D-B · 04.08.2014, 14:12

Servus,

was ist mit dem Link, von dem du gesprochen hast?

Was ist mit der Internetverbindung?

Downloade dir bitte

Farbar Service Scanner

Starte das Tool mit Doppelklick auf die FSS.exe
Gehe sicher, dass folgende Optionen angehakt sind.
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
- Other Services
Klicke auf Scan.
Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Anne-Sue · 04.08.2014, 14:14

Zitat:

Zitat von M-K-D-B

Von welchem Link sprichst du?
Welchem Link bist du auf welcher Seite gefolgt?

z.B. dem Link aus der Antwort-mail zu deiner Antwort; und ich war auf der Homepage eines Campingplatzes und habe auf den Button für die Preisliste geklickt und bin dann auch dort gelandet...

M-K-D-B · 04.08.2014, 14:16

Zitat:

Zitat von Anne-Sue

z.B. dem Link aus der Antwort-mail zu deiner Antwort; und ich war auf der Homepage eines Campingplatzes und habe auf den Button für die Preisliste geklickt und bin dann auch dort gelandet...

War dann aber kein Link von mir, sondern allgemeine Werbung... am Besten bei sowas einen Adblocker installieren, dann siehst du keine Werbungen mehr.

btw... was ist mit der Internetverbindung?

FSS bitte noch ausführen (wie im letzten Post beschrieben).

Anne-Sue · 04.08.2014, 14:29

Internet funktioniert noch nicht, ich kümmere mich jetzt um FSS

M-K-D-B · 04.08.2014, 14:29

Zitat:

Zitat von Anne-Sue

Internet funktioniert noch nicht, ich kümmere mich jetzt um FSS

Alles klar.

Anne-Sue · 04.08.2014, 14:55

hier der FSS log

Code:

ATTFilter

Farbar Service Scanner Version: 21-07-2014
Ran by Susi (administrator) on 04-08-2014 at 15:35:52
Running from "J:\"
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Attempt to access Google IP returned error. Google IP is unreachable
Attempt to access Google.com returned error: Other errors
Attempt to access Yahoo.com returned error: Other errors


Windows Firewall:
=============

Firewall Disabled Policy: 
==================


System Restore:
============

System Restore Disabled Policy: 
========================


Security Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\system32\nsisvc.dll => File is digitally signed
C:\Windows\system32\Drivers\nsiproxy.sys => File is digitally signed
C:\Windows\system32\dhcpcsvc.dll => File is digitally signed
C:\Windows\system32\Drivers\afd.sys => File is digitally signed
C:\Windows\system32\Drivers\tdx.sys => File is digitally signed
C:\Windows\system32\Drivers\tcpip.sys => File is digitally signed
C:\Windows\system32\dnsrslvr.dll => File is digitally signed
C:\Windows\system32\mpssvc.dll => File is digitally signed
C:\Windows\system32\bfe.dll => File is digitally signed
C:\Windows\system32\Drivers\mpsdrv.sys => File is digitally signed
C:\Windows\system32\SDRSVC.dll => File is digitally signed
C:\Windows\system32\vssvc.exe => File is digitally signed
C:\Windows\system32\wscsvc.dll => File is digitally signed
C:\Windows\system32\wbem\WMIsvc.dll => File is digitally signed
C:\Windows\system32\wuaueng.dll => File is digitally signed
C:\Windows\system32\qmgr.dll => File is digitally signed
C:\Windows\system32\es.dll => File is digitally signed
C:\Windows\system32\cryptsvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed
C:\Windows\system32\ipnathlp.dll => File is digitally signed
C:\Windows\system32\iphlpsvc.dll => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed


**** End of log ****

M-K-D-B · 05.08.2014, 08:38

Downloade dir bitte ESET services repair und speichere es auf den Desktop.

Öffne das Tool mit einem Doppelklick auf ServicesRepair.exe.
Wenn Hinweise angezeigt werden, drücke auf Weiter/Ja und bestätige die Ausführung des Tools.
Nachdem das Tool durchgelaufen ist, wird ein Neustart verlangt. Drücke auf Yes, um diesen auszuführen.
Im auf dem Desktop erstellten Ordner CCSupport findest du ein Logfile. Poste bitte dessen Inhalt hier.

01.08.2014, 10:57	#18
M-K-D-B /// TB-Ausbilder	http://search.fbdownloader.com/?channel=de als neue Startseite Servus, dir auch ein schönes Wochenende. Bis Montag. __________________

http://search.fbdownloader.com/?channel=de als neue Startseite

Plagegeister aller Art und deren Bekämpfung: http://search.fbdownloader.com/?channel=de als neue Startseite