www.exoclick.com versucht Weiterleitung

Wammbo · 28.07.2009, 16:44

Hallo liebes Trojaner-Board Team,
ich bin neu bei euch und komme zu euch mit einem problem, das ich nicht behoben bekomme...
Ich habe seit geraumer Zeit irgend ein Virus oder Trojaner in meinem Browser der sich nicht löschen läst.

Folgendes passiert wenn ich im IE oder Firefox rum surfe:

Ich möchte z.B. auf google oder amazone surfen, ich nehme mir dann den link entweder aus meiner Fafvoritenliste oder gib ihn manuell ein.
Dann passiert das eigenliche Problem.
Es dauert erst mal etwas länger als normal um auf die Seite zu kommen, dann werde ich über ExoClick.com - Innovative PPC platform auf ganz komische seiten weiter geleitet wie z.B. ebay etc. Ich kann dann eine Seite zurück gehen und komme dann auf die Seite auf die ich eigenlich wollte.
Doch das geht mir mächtig auf den sack.

Folgendes habe ich schon unternommen:

-Antivir Smart Scan
-Spitziäles Scanen der Systemordner für IE /Firefox
(kein ergebnis)
-Browserverlauf löschen für IE / Firefox
-Firefox neu Installieren
-Untersuchen von unbekannten Rootkits
mit dem Programm GMER.
(Die suche ergab einen Fund)
- Bis her keinen Maleware scan gemacht
-Defender zieht keine Updates mehr
(Fehlercode kommt immer)

Mein System:

OS : Windows Vista 32bit Home Premium
Service Pack : SP1
RAM : 2GB
Protz. : Intel Core 2 Duo E6750 2.66 GHz 800 MHz

Ich möchte vor ab sagen das ich einen ähnlichen thread bei euch schon gefunden habe der mir jedoch nicht weiter gehölfen hat.

Ich habe einen Hijack Log gemacht, aber kenne mich nicht damit aus.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:38:35, on 28.07.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ThreatFire\TFTray.exe
C:\Program Files\Razer\Copperhead\razertra.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\BurnAware Free\nmsaccessu.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
C:\Program Files\ThreatFire\TFService.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\PROGRA~1\ICQ6.5\ICQ.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Common Files\Steam\SteamService.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\HLSW\hlsw.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Searchme Toolbar - {4d02e7e6-5930-4b51-b9b0-9f21b3789400} - mscoree.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Searchme Toolbar - {4d02e7e6-5930-4b51-b9b0-9f21b3789400} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ThreatFire] C:\Program Files\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-jc.cab?e=1241616513967&h=8c03519821079e4fff83181221e6c899/&filename=jinstall-6u13-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{71785F50-E525-4AFE-AFD0-253F2D36FCE7}: NameServer = 85.255.112.207,85.255.112.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{99A1B5AB-F1B5-42F8-BB74-1D95FC1A32A6}: NameServer = 85.255.112.207,85.255.112.210
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\BurnAware Free\nmsaccessu.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: ThreatFire - PC Tools - C:\Program Files\ThreatFire\TFService.exe

--
End of file - 8530 bytes

john.doe · 28.07.2009, 18:13

Hallo und

Zitat:

Untersuchen von unbekannten Rootkits mit dem Programm GMER.
(Die suche ergab einen Fund)

Poste bitte das Ergebnis von Gmer.

Zitat:

Ich möchte vor ab sagen das ich einen ähnlichen thread bei euch schon gefunden habe

Wir haben Hunderte. Suche nach Ukraine oder Odessa.

Das sieht übel aus, du hast u.a. eine Umleitung in die Ukraine drin. Alle deine Internetanfragen können beliebig umgeleitet und abgefangen werden. Kein Onlinebanking, ebay, Paypal o.ä., nach Abschluss alle Kennwörter von einem sauberen Rechner ändern. Du sparst dir eine Menge Zeit wenn du die schnelle und sichere Alternative wählst => http://www.trojaner-board.de/51262-a...sicherung.html

Solltest du noch immer Säuberung vorziehen, dann beginne mit ComboFix.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Wammbo · 28.07.2009, 23:56

Hallo erstmal und danke für die schnelle antwort!
Folgende fragen habe ich erst mal.

1.
Kann die Person die mein Inet angezapft hat auf die Daten von Onlinebanking, ebay, Paypal o.ä. zugreifen? Da ich erst vor kurtzen mit Paypal gearbeitet habe.

2.
Ich kann mein System neu aufsetzten, weil ich keine Wichtigen Daten drauf habe. Kann ich trotzdem meine sachen die ich behalten will bedenkenslos auf meine externe festplatte übertragen?

3.
Ist meine externe Festplatte vor diesem übergriff geschützt?

4.
wie weit kann der angreifer auf meinen router zugriff erlangen?

5.
ein anderer pc ist auch an diesem netzwerk dran, kann er auch betroffen sein?
obeohl er so gut wie nicht online ist?

Da der Kommplete bericht zu groß wäre und ich euch keinen kompletten bericht hier rein ballern möchte, werde ich dir/euch den enrscheidenen eintrag der auch relativ direkt am start des Programmes "GMER" erscheind posten.

GMER Meldung unter der kategorie "Service":

Type: Service

Name: gxvxcserv.sys

Start: SYSTEM

File name: \systemroot\system32\drivers\gxvxcoitwecvisrqtnopxhtfcjncbeprugmueh.sys

Status Prozzes: [***hidden***]

Folgendes schließe ich daraus. Der Prozzes wird vom eigenen System ausgeführt, wo Antivir natürlich keine Zugriffsrechte hat und nur Warnungen raus gibt. Der Prozzes dient einem Service der der natürlich verdeckt läuft und nicht im task verfühgbar ist.
Liege ich da mit meiner einschätzung richtig?

Wammbo · 29.07.2009, 02:31

Ich hab noch ne wichtige Sache. Kann java da irgend wie mit drinne hängen?
Da von Java auch komische meldungen karmen die ich leider nicht mehr so wieder geben könnte bzw. beweisen.

Ich fühle mich momentan garnicht mehr wohl... ich schreibe immer noch von der Maschiene die über die Ukraine läuft...es macht mir richtig Angst und es ist unheimlich.
Dein satzt:

Zitat:

von john.doe
Das sieht übel aus, du hast u.a. eine Umleitung in die Ukraine drin.

Es läst mir keine ruhe mehr...will so schnell wie möglich alles neu machen...

Mich würde gerne interessieren wo drann du das am log siehst mit der Ukraine.^^
Es tut mir leid wenn ich so viel frage...ich mach mir sorgen.^^

john.doe · 29.07.2009, 16:34

Zitat:

Wir haben Hunderte. Suche nach Ukraine oder Odessa.

Ich habe gerade kontrolliert. Die Suche nach Ukraine ergibt 462 Treffer, die Suche nach Odessa 63 Treffer, weitere Möglichkeit ist die Suche nach DNS-Changer mit 98 Treffern oder TDSS mit 383 Treffern.

Zitat:

Kann die Person die mein Inet angezapft hat auf die Daten von Onlinebanking, ebay, Paypal o.ä. zugreifen?

Ja. du kannst davon ausgehen, dass sämtliche Kennwörter abgefangen wurden. Ob sie mittlerweile benutzt wurden, kann ich dir nicht sagen. Deshalb ist die erste Aktion die du ausführen musst, sämtliche Kennwörter von einem sauberen Rechner aus zu ändern.

Zitat:

Ich kann mein System neu aufsetzten, weil ich keine Wichtigen Daten drauf habe.

Das ist immer die schnellste und sicherste Alternative. :aplaus:

Zitat:

Kann ich trotzdem meine sachen die ich behalten will bedenkenslos auf meine externe festplatte übertragen?

Nein, bedenkenlos auf keinen Fall. Die Frage ist doch, wie hast du dich überhaupt infiziert? Es gibt noch kein Programm, dass dich aktiv vor diesen Infektionen schützen kann.

Allerdings haben meine Recherchen ergeben, dass die, die infiziert wurden eigentlich immer selbst schuld waren, weil sie Software über P2P gezogen haben oder meinten gestohlene Software mithilfe eines Keygens, Keymakers, Cracks, Patches oder wasauchimmer laden und starten zu müssen, s. => http://www.trojaner-board.de/69502-a...icht-mehr.html

Zitat:

Ist meine externe Festplatte vor diesem übergriff geschützt?

Nein. Ein Teil der TDSS-Varianten nutzt die Autoplayfunktion von Windows um sich zu verbreiten, siehe hier => http://www.trojaner-board.de/68318-r...-erhalten.html

Aus diesem Grund solltest du auf jeden Fall das hier befolgen =>

Zitat:

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

Die anderen Hinweise im Link tragen auch zur Sicherheit deines Rechners bei.

Zitat:

wie weit kann der angreifer auf meinen router zugriff erlangen?

Auch das ist technisch möglich, wenn z.B. kein oder ein schwaches Kennwort benutzt wird, siehe hier => http://www.trojaner-board.de/69884-t...nschanger.html

Man braucht nur sämtliche Sicherheitshinweise missachten, die hier und anderswo gegeben werden, dann ist alles möglich.

Zitat:

ein anderer pc ist auch an diesem netzwerk dran, kann er auch betroffen sein?

Ja. Die Sicherheitspolitik von MS ist eine einzige Katastrophe. Jeder, der auch nur den Hauch einer Ahnung hat, wird als erstes die administrativen Freigaben deaktivieren, die von MS standardmäßig aktiviert sind und sichere Kennwörter benutzen, siehe => http://www.trojaner-board.de/75618-2...unbekannt.html

Zitat:

obeohl er so gut wie nicht online ist?

Spielt überhaupt keine Rolle. Netzwerk ist Netzwerk und drin ist drin.

Zitat:

Folgendes schließe ich daraus. Der Prozzes wird vom eigenen System ausgeführt, wo Antivir natürlich keine Zugriffsrechte hat und nur Warnungen raus gibt.

Noch kenne ich kein kommerzielles Antivirenprogramm, dass alle TDSS-Varianten zuverlässig und sauber entfernen kann. Bestes Beispiel ist Kaspersky, deren Support den Leuten bei Befall empfiehlt doch ComboFix einzusetzen, siehe => http://www.trojaner-board.de/70291-c...warebytes.html

und hier => http://www.trojaner-board.de/74101-z...bofix-log.html

Ganz abgesehen davon, dass das ja wohl das absolute Armutszeugnis ist, ist die unkontrollierte Anwendung von ComboFix unverantwortlich. Denn selbst die Entfernung des Rootkits ist keine Lösung, da die Teile Unmengen von Schädlingen nachladen.

Ich lasse mir mittlerweile immer alle Schädlinge zuschicken, die nur von wenigen AVP-Herstellern erkannt werden. Dabei habe ich eine Textdatei entdeckt, mit der immensen Größe von 4,5 MB mit Instruktionen, welche Schädlinge von wo geladen und wie installiert werden.

Zitat:

Liege ich da mit meiner einschätzung richtig?

Selbst wenn du das Schlimmste annimmst, dann hast du noch immer nicht das Ausmaß der Bedrohung erkannt.

Zitat:

Ich hab noch ne wichtige Sache. Kann java da irgend wie mit drinne hängen?

Ja. Es gab in älteren Javaversionen eine Sicherheitslücke über die sich die Vundo-Schädlinge verbreitet haben. Deshalb sagen wir ja immer: Haltet eure Software aktuell. Das gilt ganz besonders für das Betriebssystem, aber auch für alle andere installierte Software. Besonders kritisch sind Java und Acrobat Reader.

Das gilt eigentlich für alle Programme, die einen hohen Verbreitungsgrad haben, denn die "lohnen" sich für die Schädlingsprogrammierer. Es geht nur um Eines, um Geld. Ich würde jetzt gerne auf ein Video verlinken, aber dafür wurde ich hier schon einmal wegen angeblicher Werbung verwarnt.

Frage Tante Gu nach folgenden Begriffen:

Code:

ATTFilter

e:volution video cybercrime deutsch

Der erste Treffer ist der richtige.

Zitat:

Ich fühle mich momentan garnicht mehr wohl...

Zu Recht.

Zitat:

Es läst mir keine ruhe mehr...will so schnell wie möglich alles neu machen...

Endlich mal jemand, der Einsicht zeigt.

Zitat:

Mich würde gerne interessieren wo drann du das am log siehst mit der Ukraine.

Zitat:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.207,85.255.112.210

=> http://www.utrace.de/?query=85.255.112.207
=> http://www.utrace.de/whois/85.255.112.207

ciao, andreas

Wammbo · 31.07.2009, 12:39

Vielen dank john.doe,
für die beantwortung meiner fragen. Das kann mann mit geld nicht aufwiegen...

Ich bin bereit mit der bereinigung zu beginnen.
Wie sieht es genau aus? Soll ich erst mit combofix starten und dann den rechner neu aufsetzten oder umgekehrt?

Die ganzen Passwörter werde ich jetzt am wochenende ändern, bei einem guten freund.

Und ja ich habe ilegale Software geladen. Ich glaube mehr als das große wort Adobe brauche ich nicht sagen.
Ich wuste nur nicht was das für konsequentzen haben kann.
Ich habe mehrere Cracks ausprobiert...hätte ich lieber lassen sollen das ist es nicht wert....den müll den ich jetzt habe...
Doch die frage bleibt, wie soll ich sonst an so Teure Software ran kommen?
Kaufen.

Ich weiß....

PS: ich habe mir deine beiden letzten threads in der signatur durchgelesen 1A die dinger.^^
Des weiteren habe ich wie verlangt von dir mir alles über die schritte mit combofix und neues system sicher aufsetzen durch gelesen.

mfg Wammbo

john.doe · 31.07.2009, 16:10

Zitat:

Soll ich erst mit combofix starten und dann den rechner neu aufsetzten oder umgekehrt?

Zuerst ComboFix, Log posten, dann neuaufsetzen.

Zitat:

Und ja ich habe ilegale Software geladen. Ich glaube mehr als das große wort Adobe brauche ich nicht sagen.
Ich wuste nur nicht was das für konsequentzen haben kann.

Danke für deine Offenheit und Ehrlichkeit. Auf die Konsequenzen versuche ich ständig hinzuweisen => http://www.trojaner-board.de/452276-post7.html

Zitat:

Doch die frage bleibt, wie soll ich sonst an so Teure Software ran kommen?

Das ist gar nicht die Frage. Es gibt genügend Freeware, die fast immer den gleichen Zweck erfüllt. Wenn du mir den genauen Einsatzzweck nennst, kann ich dir genügend Alternativen anbieten. Beispiel: Statt Adobe Photoshop ist der Einsatz von Gimp möglich.

ciao, andreas

Wammbo · 31.07.2009, 22:27

hallo lieber john.doe,
ich melde mich von meinem 2. rechner da mein PC der betroffen ist nach dem combofix scan keinen fähigen browser mehr hat.

Des weiteren gab es Probleme bei dem Scan, trotz strikten halten an die instruktionen. Ich konnte gerade so eben den log vom 1. Rechner retten.
Nun aber mehr über das was gemacht wurde von mir, also zur sache:

Antivir konnte ich nicht zufrieden stellent für combofix deaktivieren. Deswegen habe ich sie einfach deinstalliert.

-Antivir
-Thread Fire

Da ich einen neustart machen muste, habe ich anschließend einen weiteren fehler gehabt.(nach dem neustart sofort)

Hier ein bild:

http://img181.imageshack.us/img181/9779/unbenanntb.jpg

Trotz dieser Meldung habe ich den Scan begonnen.
Combofix machte einen neustart wo drauf der Rechner abstürtzte.
Nach dem neustart führte combofix den Scan zuende aus.
Seid dem Scan kann ich keine browser mehr benutzen, auch bei diversen anderen Sachen nicht mehr.

Meldung:
C:\Windows\System32\(Der zu gehörige Dienst)

Es wurde versucht, Registrirungsschlüssel einem unzulässigen Vorgang zu unterziehen der zum Löschen Makiert wurde.

Combofix log im nächsten post!

Wammbo · 31.07.2009, 22:29

Combofix 1. Teil des LOG:

Code:

ATTFilter

ComboFix 09-07-29.04 - Wammbo 31.07.2009 21:12.1.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.2046.1381 [GMT 2:00]
ausgeführt von:: c:\users\Wammbo\Desktop\ComboFix.exe
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-2160583057-3761137284-2384433194-500
C:\autorun.inf
c:\program files\UltraVideo
c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
c:\users\Wammbo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UltraVideo
c:\users\Wammbo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UltraVideo\Uninstall.lnk
c:\windows\system32\drivers\npf.sys
c:\windows\system32\gxvxccounter
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
D:\Autorun.inf

----- BITS: Eventuell infizierte Webseiten -----

hxxp://download.xbox.com
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2009-06-28 bis 2009-07-31  ))))))))))))))))))))))))))))))
.

2009-07-28 14:40 . 2009-07-28 14:40	--------	d-----w-	c:\program files\Trend Micro
2009-07-26 19:25 . 2009-07-26 19:25	--------	d-----w-	c:\program files\HyCam2
2009-07-16 00:43 . 2009-07-16 00:43	--------	d-----w-	c:\program files\Audacity
2009-07-07 00:45 . 2009-07-07 00:45	--------	d-----w-	c:\users\Wammbo\AppData\Local\ratDVD
2009-07-07 00:45 . 2009-07-07 00:45	--------	d-----w-	c:\program files\ratDVD
2009-07-06 12:11 . 2009-07-06 13:21	480	----a-w-	c:\windows\system32\Infob.dat
2009-07-06 12:11 . 2009-07-06 13:21	0	----a-w-	c:\windows\system32\Infoa.dat
2009-07-06 12:08 . 2009-07-06 12:53	335	----a-w-	c:\windows\system32\treeinfo.dat
2009-07-06 12:08 . 2009-07-06 12:08	--------	d-----w-	C:\Y.D.T
2009-07-06 12:06 . 2009-07-06 12:08	--------	d-----w-	c:\program files\E.M. Youtube Video Download Tool
2009-07-06 11:55 . 2009-07-06 11:55	--------	d-----w-	c:\program files\Searchme.com
2009-07-06 11:55 . 2009-07-06 11:55	--------	d-----w-	c:\program files\YouTube Downloader
2009-07-04 20:52 . 2009-07-04 20:53	--------	d-----w-	c:\users\Wammbo\AppData\Roaming\Power Sound Editor Free
2009-07-04 20:51 . 2005-04-25 11:01	458752	----a-w-	c:\windows\system32\NCTAudioRecord2.dll
2009-07-04 20:51 . 2005-04-25 11:01	458752	----a-w-	c:\windows\system32\NCTAudioPlayer2.dll
2009-07-04 20:51 . 2005-04-04 15:21	602112	----a-w-	c:\windows\system32\NCTAudioTransform2.dll
2009-07-04 20:51 . 2005-03-28 13:54	479232	----a-w-	c:\windows\system32\NCTAudioVisualization2.dll
2009-07-04 20:51 . 2005-03-28 13:52	417792	----a-w-	c:\windows\system32\NCTTextToAudio2.dll
2009-07-04 20:51 . 2005-02-24 09:51	348160	----a-w-	c:\windows\system32\NCTWMAFile2.dll
2009-07-04 20:51 . 2005-05-18 09:52	1212416	----a-w-	c:\windows\system32\NCTAudioInformation2.dll
2009-07-04 20:51 . 2005-05-17 10:37	1986560	----a-w-	c:\windows\system32\NCTAudioFile2.dll
2009-07-04 20:51 . 2005-04-15 10:08	880640	----a-w-	c:\windows\system32\NCTAudioEditor2.dll
2009-07-04 20:51 . 2004-11-04 11:31	835584	----a-w-	c:\windows\system32\NCTAudioCDGrabber2.dll
2009-07-04 16:15 . 2009-07-04 16:15	--------	d-----w-	c:\program files\FileZilla FTP Client
2009-07-04 11:13 . 2009-07-04 11:13	--------	d-----w-	c:\program files\VirtualDJ
2009-07-04 10:20 . 2009-07-04 12:53	--------	d-----w-	c:\program files\SpacialAudio
2009-07-04 10:20 . 2009-07-04 10:20	--------	d-----w-	c:\program files\Firebird
2009-07-04 09:53 . 2009-07-04 12:50	--------	d-----w-	c:\program files\SHOUTcast
2009-07-02 21:01 . 2009-07-02 21:01	50944	----a-w-	c:\windows\system32\drivers\vrtaucbl.sys
2009-07-02 18:27 . 2009-07-02 21:02	--------	d-----w-	c:\program files\Virtual Audio Cable
2009-07-02 08:41 . 2009-07-02 17:49	--------	d-----w-	c:\users\Wammbo\AppData\Local\gctmp
2009-07-02 08:41 . 2009-07-02 08:41	--------	d-----w-	c:\users\Wammbo\AppData\Local\Xenocode
2009-07-02 08:40 . 2009-07-02 08:41	--------	d-----w-	c:\program files\myGamersCam

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-31 19:17 . 2006-11-02 15:33	618204	----a-w-	c:\windows\system32\perfh007.dat
2009-07-31 19:17 . 2006-11-02 15:33	122442	----a-w-	c:\windows\system32\perfc007.dat
2009-07-31 18:42 . 2009-05-20 19:39	--------	d-----w-	c:\program files\ThreatFire
2009-07-31 13:06 . 2009-05-06 12:01	--------	d-----w-	c:\program files\Steam
2009-07-29 03:01 . 2009-05-16 12:47	--------	d-----w-	c:\users\Wammbo\AppData\Roaming\HLSW
2009-07-29 02:53 . 2009-05-05 14:40	680	----a-w-	c:\users\Wammbo\AppData\Local\d3d9caps.dat
2009-07-27 11:44 . 2009-05-10 19:39	--------	d-----w-	c:\users\Wammbo\AppData\Roaming\dvdcss
2009-07-26 18:44 . 2009-05-16 20:50	--------	d-----w-	c:\users\Wammbo\AppData\Roaming\Hamachi
2009-07-25 13:49 . 2009-05-09 21:05	--------	d-----w-	c:\users\Wammbo\AppData\Roaming\teamspeak2
2009-07-16 22:48 . 2009-07-16 22:48	--------	d-----w-	c:\program files\Free Audio Pack
2009-07-16 22:41 . 2009-06-04 17:42	--------	d-----w-	c:\program files\BurnAware Free
2009-07-05 23:04 . 2009-06-06 17:42	--------	d-----w-	c:\program files\Common Files\DVDVideoSoft
2009-07-05 23:04 . 2009-06-06 17:42	--------	d-----w-	c:\program files\DVDVideoSoft
2009-07-05 21:18 . 2009-05-16 12:44	--------	d-----w-	c:\users\Wammbo\AppData\Roaming\FileZilla
2009-07-04 17:15 . 2009-05-09 21:02	--------	d-----w-	c:\users\Wammbo\AppData\Roaming\Skype
2009-07-04 16:00 . 2009-05-09 21:04	--------	d-----w-	c:\users\Wammbo\AppData\Roaming\skypePM
2009-07-04 11:58 . 2009-05-05 14:40	49760	----a-w-	c:\users\Wammbo\AppData\Local\GDIPFONTCACHEV1.DAT
2009-07-02 21:03 . 2009-05-06 12:01	--------	d-----w-	c:\program files\Common Files\Steam
2009-06-29 12:45 . 2009-06-29 12:45	--------	d-----w-	c:\users\Wammbo\AppData\Roaming\TeamViewer
2009-06-29 12:45 . 2009-06-29 12:45	--------	d-----w-	c:\program files\TeamViewer
2009-06-28 12:42 . 2009-05-07 16:03	--------	d-----w-	c:\programdata\Media Center Programs
2009-06-28 12:29 . 2009-06-28 12:29	--------	d-----w-	c:\program files\Microsoft Games for Windows - LIVE
2009-06-18 21:00 . 2009-06-18 21:00	--------	d-----w-	c:\program files\Cool Beans NFO Creator
2009-06-12 19:29 . 2009-06-12 19:29	--------	d-----w-	c:\programdata\ALM
2009-06-11 22:48 . 2007-06-19 07:25	--------	d-----w-	c:\program files\Common Files\Adobe
2009-06-11 13:07 . 2009-06-09 21:49	--------	d-----w-	c:\programdata\FLEXnet
2009-06-09 14:03 . 2009-06-09 14:01	36868	----a-w-	c:\program files\uninst-shine.exe
2009-06-09 14:02 . 2009-06-09 14:02	36868	----a-w-	c:\program files\uninst-Starglow.exe
2009-06-09 14:02 . 2009-06-09 13:57	--------	d-----w-	c:\program files\Trapcode
2009-06-09 14:02 . 2009-06-09 14:02	36868	----a-w-	c:\program files\uninst-SoundKeys.exe
2009-06-09 13:58 . 2009-06-09 13:57	36868	----a-w-	c:\program files\uninst-3DStroke.exe
2009-06-09 12:09 . 2009-06-09 12:09	--------	d-----w-	c:\program files\QuickTime
2009-06-09 12:09 . 2009-06-09 12:09	--------	d-----w-	c:\programdata\Apple Computer
2009-06-09 12:08 . 2009-06-09 12:08	--------	d-----w-	c:\programdata\Apple
2009-06-09 12:08 . 2009-06-09 12:08	--------	d-----w-	c:\program files\Apple Software Update
2009-06-08 20:52 . 2009-06-08 20:52	--------	d-----w-	c:\program files\Bonjour
2009-06-08 20:47 . 2009-06-08 20:47	--------	d-----w-	c:\program files\Common Files\Macrovision Shared
2009-06-07 16:24 . 2009-05-09 23:30	--------	d-----w-	c:\programdata\Webcammax
2009-05-31 23:56 . 2009-05-05 14:29	180358299	----a-w-	c:\windows\DUMP7668.tmp
2009-05-20 22:35 . 2009-05-05 14:29	222829723	----a-w-	c:\windows\DUMP6244.tmp
2009-05-20 22:26 . 2009-05-20 22:26	125028	----a-w-	c:\users\Wammbo\AppData\Local\codecsetup.exe
2009-05-20 22:26 . 2009-05-20 22:26	24576	----a-w-	c:\users\Wammbo\AppData\Local\cp_setup_assist.exe
2009-05-16 20:50 . 2009-05-16 20:50	25280	----a-w-	c:\windows\system32\drivers\hamachi.sys
2009-05-09 23:33 . 2009-05-09 23:33	197	--sha-w-	c:\program files\Common Files\maxtreme.dat
2009-05-09 21:04 . 2009-05-09 21:04	56	---ha-w-	c:\programdata\ezsidmv.dat
2009-05-06 14:44 . 2009-05-05 14:29	181496987	----a-w-	c:\windows\DUMP39dc.tmp
2009-05-06 13:27 . 2009-05-06 13:27	410984	----a-w-	c:\windows\system32\deploytk.dll
2009-05-06 09:52 . 2006-11-02 10:25	665600	----a-w-	c:\windows\inf\drvindex.dat
2009-05-06 09:36 . 2006-11-02 10:32	82432	----a-w-	c:\windows\system32\axaltocm.dll
2009-05-06 09:36 . 2006-11-02 10:32	101888	----a-w-	c:\windows\system32\ifxcardm.dll
2009-05-05 19:40 . 2009-05-05 19:40	94720	----a-w-	c:\windows\system32\PortableDeviceClassExtension.dll
2009-05-05 19:40 . 2009-05-05 19:40	241152	----a-w-	c:\windows\system32\PortableDeviceApi.dll
2009-05-05 19:40 . 2009-05-05 19:40	160768	----a-w-	c:\windows\system32\PortableDeviceTypes.dll
2009-05-05 19:39 . 2009-05-05 19:39	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2009-05-05 19:39 . 2009-05-05 19:39	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2009-05-05 19:39 . 2009-05-05 19:39	1695744	----a-w-	c:\windows\system32\gameux.dll
2009-05-05 19:39 . 2009-05-05 19:39	2048	----a-w-	c:\windows\system32\tzres.dll
2009-05-05 19:38 . 2009-05-05 19:38	428544	----a-w-	c:\windows\system32\EncDec.dll
2009-05-05 19:38 . 2009-05-05 19:38	293376	----a-w-	c:\windows\system32\psisdecd.dll
2009-05-05 19:38 . 2009-05-05 19:38	8147456	----a-w-	c:\windows\system32\wmploc.DLL
2009-05-05 19:38 . 2009-05-05 19:38	7680	----a-w-	c:\windows\system32\spwmp.dll
2009-05-05 19:38 . 2009-05-05 19:38	4096	----a-w-	c:\windows\system32\dxmasf.dll
2009-05-05 19:15 . 2009-05-05 19:15	376832	----a-w-	c:\windows\system32\winhttp.dll
2009-05-05 19:12 . 2009-05-05 19:12	562176	----a-w-	c:\windows\system32\msdtcprx.dll
2009-05-05 19:12 . 2009-05-05 19:12	38912	----a-w-	c:\windows\system32\xolehlp.dll
2009-05-05 19:08 . 2009-05-05 19:08	2927104	----a-w-	c:\windows\explorer.exe
2009-05-05 19:03 . 2009-05-05 19:03	296960	----a-w-	c:\windows\system32\gdi32.dll
2009-05-05 19:02 . 2009-05-05 19:02	2048	----a-w-	c:\windows\system32\msxml3r.dll
2009-05-05 19:02 . 2009-05-05 19:02	1191936	----a-w-	c:\windows\system32\msxml3.dll
2009-05-05 19:00 . 2009-05-05 19:00	212480	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2009-05-05 18:57 . 2009-05-05 18:57	303616	----a-w-	c:\windows\system32\wmpeffects.dll
2009-05-05 18:54 . 2009-05-05 18:54	269312	----a-w-	c:\windows\system32\es.dll
2009-05-05 18:53 . 2009-05-05 18:53	61440	----a-w-	c:\windows\system32\winipsec.dll
2009-05-05 18:53 . 2009-05-05 18:53	361984	----a-w-	c:\windows\system32\IPSECSVC.DLL
2009-05-05 18:53 . 2009-05-05 18:53	28672	----a-w-	c:\windows\system32\FwRemoteSvr.dll
2009-05-05 18:53 . 2009-05-05 18:53	272896	----a-w-	c:\windows\system32\polstore.dll
2009-05-05 17:58 . 2009-05-05 17:58	97800	----a-w-	c:\windows\system32\infocardapi.dll
2009-05-05 17:58 . 2009-05-05 17:58	622080	----a-w-	c:\windows\system32\icardagt.exe
2009-05-05 17:58 . 2009-05-05 17:58	11264	----a-w-	c:\windows\system32\icardres.dll
2009-05-05 17:58 . 2009-05-05 17:58	105016	----a-w-	c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-05-05 17:58 . 2009-05-05 17:58	781344	----a-w-	c:\windows\system32\PresentationNative_v0300.dll
2009-05-05 17:58 . 2009-05-05 17:58	43544	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2009-05-05 17:58 . 2009-05-05 17:58	326160	----a-w-	c:\windows\system32\PresentationHost.exe
2009-05-05 17:32 . 2009-05-05 17:32	6656	----a-w-	c:\windows\system32\kbd106n.dll
2009-05-05 17:31 . 2009-05-05 17:31	9728	----a-w-	c:\windows\system32\lsass.exe
2009-05-05 17:31 . 2009-05-05 17:31	72704	----a-w-	c:\windows\system32\secur32.dll
2009-05-05 17:31 . 2009-05-05 17:31	441400	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-05-05 17:31 . 2009-05-05 17:31	24064	----a-w-	c:\windows\system32\amxread.dll
2009-05-05 17:31 . 2009-05-05 17:31	13824	----a-w-	c:\windows\system32\apilogen.dll
2009-05-05 17:31 . 2009-05-05 17:31	1255936	----a-w-	c:\windows\system32\lsasrv.dll
2009-05-05 17:31 . 2009-05-05 17:31	425472	----a-w-	c:\windows\system32\PhotoMetadataHandler.dll
2009-05-05 17:30 . 2009-05-05 17:30	712704	----a-w-	c:\windows\system32\WindowsCodecs.dll
2009-05-05 17:30 . 2009-05-05 17:30	347136	----a-w-	c:\windows\system32\WindowsCodecsExt.dll
2009-05-05 17:30 . 2009-05-05 17:30	443392	----a-w-	c:\windows\system32\win32spl.dll
2009-05-05 17:30 . 2009-05-05 17:30	37888	----a-w-	c:\windows\system32\printcom.dll
2009-05-05 17:30 . 2009-05-05 17:30	14848	----a-w-	c:\windows\system32\wshrm.dll
2009-05-05 17:30 . 2009-05-05 17:30	113664	----a-w-	c:\windows\system32\drivers\rmcast.sys
2009-05-05 17:29 . 2009-05-05 17:29	288768	----a-w-	c:\windows\system32\drivers\srv.sys
2009-05-05 17:29 . 2009-05-05 17:29	268288	----a-w-	c:\windows\system32\schannel.dll
2009-05-05 16:48 . 2009-05-05 16:48	96760	----a-w-	c:\windows\system32\dfshim.dll
2009-07-19 16:58 . 2009-07-12 21:32	137208	----a-w-	c:\program files\mozilla firefox\components\brwsrcmp.dll

Wammbo · 31.07.2009, 22:30

Combofix 2. Teil des LOG:

Code:

ATTFilter

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4d02e7e6-5930-4b51-b9b0-9f21b3789400}]
2009-05-05 16:48	282112	----a-w-	c:\windows\System32\mscoree.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4d02e7e6-5930-4b51-b9b0-9f21b3789400}"= "mscoree.dll" [2009-05-05 282112]

[HKEY_CLASSES_ROOT\clsid\{4d02e7e6-5930-4b51-b9b0-9f21b3789400}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13580832]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 92704]
"Copperhead"="c:\program files\Razer\Copperhead\razerhid.exe" [2005-11-25 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-06 148888]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-12-01 4186112]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-6-7 110592]
Adobe Reader - Schnellstart.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Users^Wammbo^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^hamachi.lnk]
path=c:\users\Wammbo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hamachi.lnk
backup=c:\windows\pss\hamachi.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{6E622BD9-0228-494C-AEAE-B94359C24989}c:\\program files\\steam\\steamapps\\wammbo\\counter-strike source\\hl2.exe"= UDP:c:\program files\steam\steamapps\wammbo\counter-strike source\hl2.exe:hl2
"UDP Query User{52311694-D325-4241-A7D9-B1E614A50C75}c:\\program files\\steam\\steamapps\\wammbo\\counter-strike source\\hl2.exe"= TCP:c:\program files\steam\steamapps\wammbo\counter-strike source\hl2.exe:hl2
"{4EBA4DD4-D739-4D3D-94B1-B3610870969D}"= UDP:c:\program files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes - Opposing Fronts
"{CC132EDB-EE54-4118-9A66-0D6D4BFD1302}"= TCP:c:\program files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes - Opposing Fronts
"{AE7E4084-8FA7-408B-80A2-ABDAB0CD585E}"= c:\program files\Skype\Phone\Skype.exe:Skype
"{605BFDF0-EE8D-41B3-8EFD-D61710203013}"= UDP:c:\users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe:Blizzard Downloader
"{907AB9D4-1444-40C3-8D17-248EEF73D3D5}"= TCP:c:\users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9506-to-3.0.9.9551-deDE-downloader.exe:Blizzard Downloader
"{19551612-D593-4CDD-920F-70E5E3EE592A}"= UDP:3724:Blizzard Downloader: 3724
"{E0132C3D-1662-4915-917E-3C502FD5586F}"= Disabled:UDP:c:\program files\DNA\btdna.exe:DNA (TCP-In)
"{0023BFE5-A379-4C2A-B7F1-1C8D4EF8EE92}"= Disabled:TCP:c:\program files\DNA\btdna.exe:DNA (UDP-In)
"TCP Query User{2AEF1BB4-B2CE-475A-9D16-9AA9E761E9FC}c:\\program files\\hlsw\\hlsw.exe"= UDP:c:\program files\hlsw\hlsw.exe:HLSW Application
"UDP Query User{61C7872D-DA20-4F0E-9E9C-8544220BB44A}c:\\program files\\hlsw\\hlsw.exe"= TCP:c:\program files\hlsw\hlsw.exe:HLSW Application
"TCP Query User{8B01824F-ADC6-45EF-B48B-C07D5CB73F78}c:\\program files\\java\\jre6\\bin\\java.exe"= UDP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{5B9DC095-291C-4777-928A-8791D6497166}c:\\program files\\java\\jre6\\bin\\java.exe"= TCP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"TCP Query User{C84123E2-510B-4135-99BD-B1A01E779FD4}c:\\program files\\icq6.5\\icq.exe"= UDP:c:\program files\icq6.5\icq.exe:ICQ
"UDP Query User{BA355FA3-5024-4B6E-83B3-D696D623BA95}c:\\program files\\icq6.5\\icq.exe"= TCP:c:\program files\icq6.5\icq.exe:ICQ
"TCP Query User{784D9466-322D-4650-9E19-F5B1CD80C2DD}c:\\users\\public\\games\\world of warcraft\\launcher.exe"= UDP:c:\users\public\games\world of warcraft\launcher.exe:Blizzard Launcher
"UDP Query User{65294451-11ED-47D2-8A82-AF661860BAE7}c:\\users\\public\\games\\world of warcraft\\launcher.exe"= TCP:c:\users\public\games\world of warcraft\launcher.exe:Blizzard Launcher
"TCP Query User{9E8DAB62-C7D7-47F7-A177-46933FF486BC}c:\\program files\\steam\\steamapps\\wammbo\\insurgency\\hl2.exe"= UDP:c:\program files\steam\steamapps\wammbo\insurgency\hl2.exe:hl2
"UDP Query User{71BBD343-1D04-48F7-A63D-0D6A95618EB2}c:\\program files\\steam\\steamapps\\wammbo\\insurgency\\hl2.exe"= TCP:c:\program files\steam\steamapps\wammbo\insurgency\hl2.exe:hl2
"TCP Query User{4F0A5B35-B09B-43C0-BECB-E821A8AEDF48}c:\\program files\\steam\\steamapps\\common\\dawn of war 2\\dow2.exe"= UDP:c:\program files\steam\steamapps\common\dawn of war 2\dow2.exe:DOW2
"UDP Query User{CC1A23AD-B338-4666-851F-A4E67CE1E1DC}c:\\program files\\steam\\steamapps\\common\\dawn of war 2\\dow2.exe"= TCP:c:\program files\steam\steamapps\common\dawn of war 2\dow2.exe:DOW2
"TCP Query User{6B719063-5663-42F3-98AD-4E740283E5C5}c:\\program files\\virtualdj\\virtualdj.exe"= UDP:c:\program files\virtualdj\virtualdj.exe:VirtualDJ
"UDP Query User{49D7FCEE-D30A-41DE-8D1D-AD06B0C615AC}c:\\program files\\virtualdj\\virtualdj.exe"= TCP:c:\program files\virtualdj\virtualdj.exe:VirtualDJ
"TCP Query User{8A128935-FBF3-4F12-A83C-CB5B2B38A8A8}c:\\program files\\spacialaudio\\sambc\\sambc.exe"= Disabled:UDP:c:\program files\spacialaudio\sambc\sambc.exe:SAMBC
"UDP Query User{A58D27F1-F51D-43BF-A759-B190F1768D59}c:\\program files\\spacialaudio\\sambc\\sambc.exe"= Disabled:TCP:c:\program files\spacialaudio\sambc\sambc.exe:SAMBC
"{AD7DF6A6-D8CE-44A0-B57B-B6D19BE6D22B}"= UDP:c:\program files\FileZilla FTP Client\filezilla.exe:FileZilla
"{01D8C735-1A8A-417C-81F7-F42C31A22D2C}"= TCP:c:\program files\FileZilla FTP Client\filezilla.exe:FileZilla
"TCP Query User{61B9BD2A-5542-4BC8-AE04-1A221D6005AD}c:\\program files\\steam\\steamapps\\wammbo1987\\counter-strike source\\hl2.exe"= UDP:c:\program files\steam\steamapps\wammbo1987\counter-strike source\hl2.exe:hl2
"UDP Query User{08815A4D-EA8D-406F-ADB1-5728BF73F7DA}c:\\program files\\steam\\steamapps\\wammbo1987\\counter-strike source\\hl2.exe"= TCP:c:\program files\steam\steamapps\wammbo1987\counter-strike source\hl2.exe:hl2
"{EA87AE50-83CE-4F41-9709-89EED62CF684}"= Disabled:UDP:c:\program files\THQ\Company of Heroes\RelicDownloader\RelicDownloader.exe:Relic Downloader
"{C5B8B4ED-0368-4CE0-BA24-3D24E4C0BCDA}"= Disabled:TCP:c:\program files\THQ\Company of Heroes\RelicDownloader\RelicDownloader.exe:Relic Downloader
"TCP Query User{BD5850D1-8561-4D06-8CAF-D06B5A49D72E}c:\\users\\wammbo\\appdata\\local\\temp\\340f9eda391e4f0fb2b7f2e0a57f5f09\\relicdownloader.exe"= Disabled:UDP:c:\users\wammbo\appdata\local\temp\340f9eda391e4f0fb2b7f2e0a57f5f09\relicdownloader.exe:relicdownloader.exe
"UDP Query User{E90CD7C7-FCC3-47BF-A95B-4A9E2BE51350}c:\\users\\wammbo\\appdata\\local\\temp\\340f9eda391e4f0fb2b7f2e0a57f5f09\\relicdownloader.exe"= Disabled:TCP:c:\users\wammbo\appdata\local\temp\340f9eda391e4f0fb2b7f2e0a57f5f09\relicdownloader.exe:relicdownloader.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"DoNotAllowExceptions"= 1 (0x1)
"DisabledInterfaces"= {99A1B5AB-F1B5-42F8-BB74-1D95FC1A32A6}

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\BitTorrent\\bittorrent.exe"= c:\program files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

R2 CamthWDM;WebcamMax, WDM Video Capture;c:\windows\System32\drivers\CamthWDM.sys [09.02.2008 06:58 941784]
R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [25.06.2009 09:22 185640]
R3 EuMusDesignVirtualAudioCableWdm;Virtual Audio Cable (WDM);c:\windows\System32\drivers\vrtaucbl.sys [02.07.2009 23:01 50944]
R3 UsbFltr;Razer Copperhead Driver;c:\windows\System32\drivers\copperhd.sys [06.05.2009 15:49 11596]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-Locked - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Wammbo\AppData\Roaming\Mozilla\Firefox\Profiles\2o6ctgk6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota",      5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords",   false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads",   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies",     true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache",       true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions",    true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords",               false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads",               true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache",                   true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps",             false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings",            false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs",    false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************
Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\BurnAware Free\nmsaccessu.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\conime.exe
c:\windows\System32\rundll32.exe
c:\program files\Razer\Copperhead\razertra.exe
c:\program files\Razer\Copperhead\razerofa.exe
c:\windows\System32\wbem\WMIADAP.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-31 22:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-07-31 20:24

Vor Suchlauf: 11 Verzeichnis(se), 109.936.197.632 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 109.529.468.928 Bytes frei

340	--- E O F ---	2009-06-28 12:05

john.doe · 31.07.2009, 22:36

Nicht das wir jetzt aneinander vorbeischreiben. Du wolltest doch den Rechner neuinstallieren oder habe ich das falsch verstanden?

Code:

ATTFilter

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-2160583057-3761137284-2384433194-500
C:\autorun.inf

Das ist der Eintrag, auf den ich gewartet habe. Waren alle externen Datenträger angeschlossen?

ciao, andreas

Wammbo · 31.07.2009, 22:43

Alle Externe Datenträger u. Geräte waren bei dem Scan an.

Zitat:

Du wolltest doch den Rechner neuinstallieren oder habe ich das falsch verstanden?

Nein natürlich nicht. Ein paar threads vorher...

Zitat:

von john.doe
Zuerst ComboFix, Log posten, dann neuaufsetzen.

ich werde jetzt die Neuinstallation beginnen. Wenn da nicht gegen spricht.

john.doe · 31.07.2009, 22:55

OK. Dann war nur die Festplatte befallen. Halte dich an unsere Anleitung, dann kann dir nichts passieren => http://www.trojaner-board.de/51262-a...sicherung.html

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

Du bist entlassen.

ciao, andreas

Wammbo · 31.07.2009, 23:06

Ich bedanke mich bei dir, für die super hilfe.
Nach der Neuinstallation kann ich wieder ruhig schlafen.^^
Ich suche wenn ein programm das in etwar funktioniert wie "Adobe After Effects". Wo wir da am anfang drüber geredet haben.

Wie wird man eigenlich so ein Kompetenzler wie du?
Mich würde so was nehmlich auch sehr interessieren, sich für so ne gute sache im netz ein zu setzen.

Naja ich wünsche dir eine gute nacht und hoffe das wir uns nicht mehr unter solchen umständen begegnen.^^
Und noch mal Tausend dank.

PS: ich habe mir das video mal an geschaut was du mir da gegeben hast, ich finde es top.^^

mit der systemwiederherstellung soll ich das vor oder nach der Neuinstallation machen?

john.doe · 31.07.2009, 23:35

Zitat:

Ich suche wenn ein programm das in etwar funktioniert wie "Adobe After Effects". Wo wir da am anfang drüber geredet haben.

Zum Transcodieren, Schneiden und Zusammenfügen benutze ich Avidemux und Any Video Converter. Jetzt weiß ich nicht, was du genau machen möchtest, aber hier sollte ein guter Anfang sein => Video-Freeware: Schneiden, vertonen und konvertieren @ NETZWELT.de

Zitat:

Wie wird man eigenlich so ein Kompetenzler wie du?

Du brauchst ein abgeschlossenes Studium, 10 Jahre Berufserfahrung als Administrator, eine Aufnahmeprüfung und die Bestechung aller Mitglieder des Kompetenzteams war auch noch nötig. *lüg wie gedruckt*

Einfach hier mitarbeiten, falls du positiv auffällst und die Abstimmung des Kompetenzteams und der Moderatoren danach positiv ausfällt, gehörst du dazu.

Zitat:

mit der systemwiederherstellung soll ich das vor oder nach der Neuinstallation machen?

Besser vorher. Bei der Formatierung bleibt die Systemwiederherstellung erhalten und das ist bei Befall eher negativ.

Noch besser ist das Löschen und anschliessende Neuanlegen der Partitionen beim Installieren (s. Anleitung). Grundsätzlich sollte mit mindestens 2 Partitionen gearbeitet werden. Eine für das Betriebssystem und eine für deine Daten.

ciao, andreas