Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Renos.jm über FireFox eingefangen - richtig entfernt?

Renos.jm über FireFox eingefangen - richtig entfernt?


Plagegeister aller Art und deren Bekämpfung: Renos.jm über FireFox eingefangen - richtig entfernt?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 28.12.2009, 14:39   #1
nattfoedd
 
Renos.jm über FireFox eingefangen - richtig entfernt? - Standard

Renos.jm über FireFox eingefangen - richtig entfernt?


Hallo zusammen!

Euer Board hat mir mit meinem Problem denke ich schon recht weit geholfen.
Um wirklich sicher zu gehen, würde ich aber gerne die entsprechenden Logs nochmal durchsehen lassen.

Mein System:
Windows Vista Business 64 Service Pack 1 [dachte ich hätte SP2 drauf, aber anscheinend hab ich das verschlafen]
AV Antivir Personal
(Xeon W3520, Gigabyte UD5, 6GB DDR3 RAM, GTS250 - dürfte aber wohl unerheblich sein, in diesem Fall)

Mein Problem:
Gestern Abend gelangte über den Aufruf einer Seite im FireFox ein Trojaner der Art Renos.jm auf mein System. Wie und warum, kann ich mir selbst nicht erklären - auf jeden Fall schlug der WindowsDefender an, AntiVir dagegen gab keine Meldung von sich. Ich ging zunächst davon aus, daß sich das Problem also nun erledigt hat, jedoch wurde ich nun im Folgenden immer wieder auf Microsofts Searchengine Bing weitergeleitet. Nach dem Systemstart heute morgen, tauchte anschließend eine Fehlermeldung bzgl. einer fehlenden Datei [sshnas.dll] auf, nach kurzer Recherche ergab sich, daß diese mit LosAlamos bzw. AddAtom in Verbindung steht. Ich deaktivierte daraufhin die entsprechenden Systemstart Einträge in der MSConfig.

Weitere Schritte waren:

Antivir-Systemprüfung
Ergebnis:

CCleaner
Cleaner, als auch Registry Durchlauf
Neustart

Malwarebytes' Anti-Malware
Durchlauf - mit 11 gefundenen infizierten Dateien:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3443
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

28.12.2009 12:09:07
mbam-log-2009-12-28 (12-08-59).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 468511
Laufzeit: 37 minute(s), 11 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
C:\Users\Clemens\AppData\Roaming\SystemProc\lsass.exe (Trojan.Agent) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\J8RPLTROBQ (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rthdbpl (Trojan.Agent) -> No action 

taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\j8rpltrobq (Trojan.Dropper) -> No 

action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChang

es (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Clemens\AppData\Local\Temp\a.exe (Trojan.Downloader) -> No action taken.
C:\Users\Clemens\AppData\Local\Temp\Setup.tmp (Adware.Agent) -> No action taken.
D:\Programme\CryptLoad_1.1.6\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action 

taken.
D:\Programme\...\...\...\nc.exe (PUP.KeyLogger) -> No action taken.
C:\Users\Clemens\AppData\Roaming\SystemProc\lsass.exe (Trojan.Agent) -> No action taken.
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.
C:\Windows\msa.exe (Trojan.Agent) -> No action taken.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
C:\Users\Clemens\AppData\Local\Temp\b.exe (Trojan.Dropper) -> No action taken.
C:\Users\Clemens\AppData\Local\Temp\c.exe (Trojan.Dropper) -> No action taken.
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert) -> No action taken.
Entsprechende Einträge von Anti-Malware entfernen lassen und nach Neustart weiterer Durchlauf mit folgendem positiven?! Ergebnis:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3443
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

28.12.2009 13:24:51
mbam-log-2009-12-28 (13-24-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 468406
Laufzeit: 37 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


RSIT
Gibt nun folgende log-Datei aus:
Code:
ATTFilter
Logfile of random's system information tool 1.06 (written by random/random)
Run by Clemens at 2009-12-28 13:46:57
Microsoft® Windows Vista™ Business  Service Pack 1
System drive C: has 7 GB (9%) free of 80 GB
Total RAM: 6141 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:47:09, on 28.12.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18349)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
D:\Programme\EXPERTool\TBPANEL.exe
C:\Program Files (x86)\Windows Sidebar\sidebar.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\GIGABYTE\ET6\GUI.exe
C:\Program Files\ASUS Xonar DS Audio\Customapp\ASUSAUDIOCENTER.EXE
D:\Programme\RivaTuner v2.24\RivaTuner.exe
C:\Program Files (x86)\Windows Sidebar\sidebar.exe
C:\Windows\SysWOW64\conime.exe
D:\Downloads\RSIT.exe
C:\Program Files (x86)\trend micro\Clemens.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [...]go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [...]go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [...]go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [...]go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [...]go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [...]go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\Windows\SysWOW64\dvmurl.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [EasyTuneVI] C:\Program Files (x86)\GIGABYTE\ET6\ETcall.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [GAINWARD] D:\Programme\EXPERTool\TBPanel.exe /A
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [EPSON Stylus D120 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATICCE.EXE /FU "C:\Windows\TEMP\E_SD42F.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\SideBar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HwMonTray.exe - Verknüpfung.lnk = D:\Programme\HWMonitor64_113\HwMonTray.exe
O4 - Global Startup: QuatoCalibrationLoader.lnk = D:\Programme\iColorDisplay\QuatoCalibrationLoader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O13 - Gopher Prefix: 
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - [...]icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files (x86)\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: mental ray 3.7 Satellite for Autodesk 3ds Max 2010 32-bit 32-bit (mi-raysat_3dsmax2010_32) - Unknown owner - C:\Program Files (x86)\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe
O23 - Service: mental ray 3.7 Satellite for Autodesk 3ds Max 2010 64-bit 64-bit (mi-raysat_3dsmax2010_64) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_64server.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: SPM License Server (spmd) - mental images GmbH - C:\spm\spmdib.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TabletServiceWacom - Unknown owner - C:\Windows\system32\Wacom_Tablet.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\Windows\system32\UAService7.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9385 bytes

======Scheduled tasks folder======

C:\Windows\tasks\User_Feed_Synchronization-{64BB3058-FB6B-44DD-8337-5FB88C292CF6}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-12 2217848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2009-04-27 35840]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=D:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"JMB36X IDE Setup"=C:\Windows\RaidTool\xInsIDE.exe [2007-03-20 36864]
"EasyTuneVI"=C:\Program Files (x86)\GIGABYTE\ET6\ETcall.exe [2007-07-26 20480]
"Adobe Reader Speed Launcher"=C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"SunJavaUpdateSched"=C:\Program Files (x86)\Java\jre6\bin\jusched.exe [2009-04-27 148888]
"AdobeCS4ServiceManager"=C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe [2008-08-14 611712]
"QuickTime Task"=D:\Programme\QuickTime\QTTask.exe [2009-05-26 413696]
"GrooveMonitor"=C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [2008-10-25 31072]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"GAINWARD"=D:\Programme\EXPERTool\TBPanel.exe [2009-04-03 2181672]
"DAEMON Tools Lite"=D:\Programme\DAEMON Tools Lite\daemon.exe [2009-04-23 691656]
"AdobeBridge"= []
"EPSON Stylus D120 Series"=C:\Windows\system32\spool\DRIVERS\x64\3\E_IATICCE.EXE [2007-03-12 213504]
"Sidebar"=C:\Program Files (x86)\Windows Sidebar\SideBar.exe [2008-01-21 1233920]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
HwMonTray.exe - Verknüpfung.lnk - D:\Programme\HWMonitor64_113\HwMonTray.exe
QuatoCalibrationLoader.lnk - D:\Programme\iColorDisplay\QuatoCalibrationLoader.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-12 2217848]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"ForceActiveDesktopOn"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"D:\Programme\xchat\xchat.exe"="D:\Programme\xchat\xchat.exe:*:Enabled:XChat IRC Client"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2009-12-28 13:46:58 ----D---- C:\Program Files (x86)\trend micro
2009-12-28 13:46:57 ----D---- C:\rsit
2009-12-28 13:32:24 ----A---- C:\mbr.exe
2009-12-28 13:31:00 ----A---- C:\lopR.txt
2009-12-28 13:30:29 ----D---- C:\Lop SD
2009-12-28 11:29:25 ----D---- C:\Users\Clemens\AppData\Roaming\Malwarebytes
2009-12-28 11:29:21 ----D---- C:\ProgramData\Malwarebytes
2009-12-28 11:24:43 ----D---- C:\32788R22FWJFW
2009-12-27 22:00:56 ----SHD---- C:\Users\Clemens\AppData\Roaming\SystemProc
2009-12-21 12:05:58 ----RSH---- C:\Windows\system32\nbDX.dll
2009-12-21 12:05:58 ----RSH---- C:\Windows\system32\msfDX.dll
2009-12-21 12:05:58 ----RSH---- C:\Windows\system32\flvDX.dll
2009-12-14 17:58:04 ----A---- C:\Windows\system32\d3dx9_42.dll
2009-12-10 00:13:31 ----A---- C:\Windows\system32\nshhttp.dll
2009-12-10 00:13:30 ----A---- C:\Windows\system32\httpapi.dll
2009-12-09 08:34:41 ----A---- C:\Windows\system32\mshtml.dll
2009-12-09 08:34:40 ----A---- C:\Windows\system32\wininet.dll
2009-12-09 08:34:40 ----A---- C:\Windows\system32\urlmon.dll
2009-12-09 08:34:40 ----A---- C:\Windows\system32\occache.dll
2009-12-09 08:34:39 ----A---- C:\Windows\system32\mstime.dll
2009-12-09 08:34:39 ----A---- C:\Windows\system32\msfeeds.dll
2009-12-09 08:34:39 ----A---- C:\Windows\system32\ieUnatt.exe
2009-12-09 08:34:39 ----A---- C:\Windows\system32\iertutil.dll
2009-12-09 08:34:39 ----A---- C:\Windows\system32\ieframe.dll
2009-12-09 08:34:39 ----A---- C:\Windows\system32\iedkcs32.dll
2009-12-09 08:34:39 ----A---- C:\Windows\system32\ieapfltr.dll
2009-12-09 08:34:39 ----A---- C:\Windows\system32\ieaksie.dll
2009-12-09 08:34:38 ----A---- C:\Windows\system32\jsproxy.dll
2009-12-09 08:34:38 ----A---- C:\Windows\system32\ieencode.dll
2009-12-09 08:29:25 ----A---- C:\Windows\system32\rastls.dll
2009-12-09 08:29:25 ----A---- C:\Windows\system32\raschap.dll
2009-12-04 23:02:11 ----A---- C:\Windows\avisplitter.ini
2009-12-04 23:02:10 ----A---- C:\Windows\system32\yv12vfw.dll
2009-12-04 23:02:10 ----A---- C:\Windows\system32\xvidvfw.dll
2009-12-04 23:02:10 ----A---- C:\Windows\system32\xvidcore.dll
2009-12-04 23:02:09 ----A---- C:\Windows\system32\ff_vfw.dll.manifest
2009-12-04 23:02:09 ----A---- C:\Windows\system32\ff_vfw.dll
2009-12-04 22:54:04 ----D---- C:\ProgramData\NVIDIA
2009-12-04 22:53:58 ----D---- C:\Program Files (x86)\NVIDIA Corporation
2009-12-04 22:53:17 ----D---- C:\Windows\system32\AGEIA
2009-12-04 22:53:17 ----D---- C:\Program Files (x86)\AGEIA Technologies
2009-12-04 22:53:07 ----D---- C:\Program Files (x86)\Common Files\Wise Installation Wizard
2009-12-04 22:52:09 ----A---- C:\Windows\system32\OpenCL.dll
2009-12-04 22:52:09 ----A---- C:\Windows\system32\nvwgf2um.dll
2009-12-04 22:52:07 ----A---- C:\Windows\system32\nvoglv32.dll
2009-12-04 22:52:06 ----A---- C:\Windows\system32\nvd3dum.dll
2009-12-04 22:52:06 ----A---- C:\Windows\system32\nvcuvid.dll
2009-12-04 22:52:05 ----A---- C:\Windows\system32\nvcuvenc.dll
2009-12-04 22:52:05 ----A---- C:\Windows\system32\nvcuda.dll
2009-12-04 22:52:04 ----A---- C:\Windows\system32\nvcompiler.dll
2009-12-04 22:52:03 ----A---- C:\Windows\system32\nvapi.dll
2009-12-04 22:52:01 ----D---- C:\NVIDIA
2009-12-03 19:28:18 ----A---- C:\Users\Clemens\AppData\Roaming\iCDPresets.txt

======List of files/folders modified in the last 1 months======

2009-12-28 13:47:08 ----D---- C:\Windows\Prefetch
2009-12-28 13:47:01 ----D---- C:\Windows\Temp
2009-12-28 13:46:58 ----RD---- C:\Program Files (x86)
2009-12-28 13:38:01 ----SHD---- C:\Windows\Installer
2009-12-28 13:37:58 ----SHD---- C:\System Volume Information
2009-12-28 13:32:27 ----D---- C:\Windows\System32
2009-12-28 13:32:26 ----D---- C:\Windows\inf
2009-12-28 13:28:20 ----D---- C:\Windows\SysWOW64
2009-12-28 13:28:16 ----D---- C:\Users\Clemens\AppData\Roaming\WTablet
2009-12-28 12:09:13 ----D---- C:\Windows\Tasks
2009-12-28 12:09:13 ----D---- C:\Windows
2009-12-28 11:29:22 ----D---- C:\Windows\system32\drivers
2009-12-28 11:29:21 ----D---- C:\ProgramData
2009-12-28 11:21:21 ----D---- C:\Windows\Debug
2009-12-27 22:21:22 ----D---- C:\Users\Clemens\AppData\Roaming\Azureus
2009-12-23 15:33:44 ----D---- C:\temp
2009-12-23 03:06:18 ----D---- C:\ProgramData\Microsoft Help
2009-12-23 03:06:17 ----RSD---- C:\Windows\assembly
2009-12-23 03:05:01 ----D---- C:\Program Files (x86)\Common Files\microsoft shared
2009-12-23 03:04:42 ----RSD---- C:\Windows\Fonts
2009-12-23 03:02:09 ----D---- C:\Program Files (x86)\Common Files\System
2009-12-23 03:02:09 ----A---- C:\Windows\win.ini
2009-12-21 11:57:18 ----AD---- C:\ProgramData\TEMP
2009-12-19 23:18:59 ----D---- C:\tmp
2009-12-10 10:29:09 ----D---- C:\Program Files (x86)\Internet Explorer
2009-12-10 00:16:04 ----D---- C:\Windows\winsxs
2009-12-04 22:53:07 ----D---- C:\Program Files (x86)\Common Files
2009-12-04 22:53:02 ----RD---- C:\Program Files
2009-12-04 22:19:43 ----HD---- C:\Program Files (x86)\InstallShield Installation Information
2009-12-04 19:11:26 ----D---- C:\Users\Clemens\AppData\Roaming\dvdcss
2009-12-02 22:54:54 ----D---- C:\Users\Clemens\AppData\Roaming\foobar2000

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 CSC;Offline Files Driver; C:\Windows\system32\drivers\csc.sys []
R1 truecrypt;truecrypt; C:\Windows\SysWOW64\drivers\truecrypt.sys [2009-09-15 221376]
R2 adfs;adfs; C:\Windows\system32\drivers\adfs.sys []
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
R3 Cardex;Cardex; \??\C:\Windows\SysWOW64\drivers\TBPANELX64.SYS [2007-03-16 15648]
R3 cmudaxp;ASUS Xonar DS Audio Interface; C:\Windows\system32\drivers\cmudaxp.sys []
R3 cpuz131;cpuz131; \??\C:\Users\Clemens\AppData\Local\Temp\cpuz131\cpuz_x64.sys []
R3 gdrv;gdrv; \??\C:\Windows\gdrv.sys [2009-12-28 24072]
R3 GVTDrv64;GVTDrv64; \??\C:\Windows\GVTDrv64.sys [2009-12-28 30528]
R3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
R3 RivaTuner64;RivaTuner64; \??\D:\Programme\RivaTuner v2.24\RivaTuner64.sys [2009-05-14 19952]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh64.sys []
R3 wacommousefilter;Wacom Mouse Filter Driver; C:\Windows\system32\DRIVERS\wacommousefilter.sys []
R3 wacomvhid;Wacom Virtual Hid Driver; C:\Windows\system32\DRIVERS\wacomvhid.sys []
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys []
S2 TBPanel;TBPanel; C:\Windows\system32\drivers\TBPanel.sys []
S2 WinI2C-DDC;WinI2C-DDC Kernel Mode Driver; \??\D:\Programme\iColorDisplay\DDCDrv.sys [2008-08-29 10240]
S3 autexqtw;autexqtw; C:\Windows\system32\drivers\autexqtw.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
S3 mbr;mbr; \??\C:\Users\Clemens\AppData\Local\Temp\mbr.sys []
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 RTCore64;RTCore64; \??\D:\Programme\rmclock_235_bin\RTCore64.sys []
S3 wacmoumonitor;Wacom Mode Helper; C:\Windows\system32\DRIVERS\wacmoumonitor.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S3 X-Rite;X-Rite USB Service; C:\Windows\system32\DRIVERS\XrUsb64.sys []
S3 zlportio;zlportio; \??\UNC\Clemens-laptop\g\Ultrastar\zlportio.sys []
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; D:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; D:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 CscService;@%systemroot%\system32\cscsvc.dll,-200; C:\Windows\System32\svchost.exe [2008-01-21 21504]
R2 MDM;Machine Debug Manager; C:\Program Files (x86)\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-20 322120]
R2 mi-raysat_3dsmax2010_32;mental ray 3.7 Satellite for Autodesk 3ds Max 2010 32-bit 32-bit; C:\Program Files (x86)\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe [2009-03-12 86016]
R2 mi-raysat_3dsmax2010_64;mental ray 3.7 Satellite for Autodesk 3ds Max 2010 64-bit 64-bit; C:\Program Files\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_64server.exe [2009-03-12 86016]
R2 MSSQL$SQLEXPRESS;SQL Server (SQLEXPRESS); C:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2009-05-27 29262680]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
R2 spmd;SPM License Server; C:\spm\spmdib.exe [2008-11-25 617472]
R2 SQLBrowser;SQL Server-Browser; C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe [2008-11-24 239968]
R2 SQLWriter;SQL Server VSS Writer; C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe [2008-11-25 153952]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-11-20 240232]
R2 TabletServiceWacom;TabletServiceWacom; C:\Windows\system32\Wacom_Tablet.exe []
R2 UserAccess7;SecuROM User Access Service (V7); C:\Windows\system32\UAService7.exe [2009-06-30 221184]
S2 GEST Service;GEST Service for program management.; C:\Program Files (x86)\GIGABYTE\EnergySaver\GSvr.exe [2008-12-08 68136]
S3 AppMgmt;@appmgmts.dll,-3250; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2008-07-27 93184]
S3 Fax;@%systemroot%\system32\fxsresm.dll,-118; C:\Windows\system32\fxssvc.exe []
S3 FLEXnet Licensing Service 64;FLEXnet Licensing Service 64; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe [2009-05-15 1038088]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-05-15 655624]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files (x86)\Microsoft Office\Office12\GrooveAuditService.exe [2008-10-25 65888]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]
S3 UmRdpService;@%SystemRoot%\system32\umrdp.dll,-1000; C:\Windows\System32\svchost.exe [2008-01-21 21504]
S3 wbengine;@%systemroot%\system32\wbengine.exe,-104; C:\Windows\system32\wbengine.exe []
S4 MSSQLServerADHelper;Hilfsdienst von SQL Server für Active Directory; C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqladhlp90.exe [2008-11-24 45408]
S4 msvsmon90;Visual Studio 2008 Remote Debugger; C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\Remote Debugger\x64\msvsmon.exe [2007-11-08 4466688]

-----------------EOF-----------------


Soweit so gut?

Allerdings sind unter Systemstart immernoch die deaktivierten Einträge der entsprechenden Dateien vorhanden!


Bei einer manuellen Suche nach den entsprechenden Dateien kommt allerdings nichts heraus.

AntiVir läuft momentan noch, hat bis jetzt allerdings auch noch nichts gefunden (dauert jedoch, da die Systemfestplatte Festplatte 1TB groß ist)

Was wären übrige, noch ausstehende Schritte das System zu prüfen?
(Prinzipiell wäre es eine Gelegenheit das System gleich mit Win7 neu aufzusetzen, dazu fehlt mir jedoch momentan die Zeit)

Vielen Dank!

 

Themen zu Renos.jm über FireFox eingefangen - richtig entfernt?
32-bit, 64-bit, adobe, adware.agent, antivir, antivir guard, avg, avgntflt.sys, avira, bho, browser, c:\windows\temp, device driver, diagnostics, entfernen, entfernt?, error, excel, fehlermeldung, firefox, gainward, gigabyte, hdaudio.sys, hijack.displayproperties, hijackthis, installation, local\temp, log-datei, logfile, malware.packer, malware.trace, malwarebytes' anti-malware, mssql, nc.exe, nvlddmkm.sys, plug-in, problem, programdata, pup.keylogger, realtek, registrierungsschlüssel, registry, renos.jm, rundll, service pack 1, software, start menu, studio, svchost.exe, system, syswow64, trojan.downloader, trojan.dropper, trojaner, usb, vista, visual studio, warum, windows\temp, {66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job


« Windows security alert - popups mit gefakten Viruswarnungen | TR/PSW.jomloon »


Ähnliche Themen: Renos.jm über FireFox eingefangen - richtig entfernt?


  1. Virus nicht richtig entfernt (radiorage4j)
    Log-Analyse und Auswertung - 24.05.2015 (7)
  2. TR/Crypt.XPACK.Gen - wie entfernt man ihn richtig?
    Plagegeister aller Art und deren Bekämpfung - 31.01.2014 (9)
  3. CouponDropDown über Firefox eingefangen - rechner wird langsamer
    Log-Analyse und Auswertung - 04.12.2013 (16)
  4. GVU Trojaner nicht richtig entfernt...
    Plagegeister aller Art und deren Bekämpfung - 28.01.2013 (17)
  5. GVU Trojaner 2.07 richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (1)
  6. BOO/TDss.M - Richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2011 (12)
  7. BKA Trojaner nicht richtig entfernt
    Log-Analyse und Auswertung - 09.08.2011 (1)
  8. BKA Trojaner richtig entfernt?
    Log-Analyse und Auswertung - 09.08.2011 (1)
  9. Windows Diagnostic - richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 05.04.2011 (23)
  10. Anti Malware Doctor auf WIN 7 gehabt und entfernt. Richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (13)
  11. Trojana TR/Renos.247296' eingefangen und werde ihn nicht mehr los:-(
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (3)
  12. Malware über ICQ eingefangen, Firefox öffnet selbstständig Werbeanzeigen und anderes
    Log-Analyse und Auswertung - 20.06.2010 (24)
  13. TrojanDownloader:Win32/Renos.JM kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 31.12.2009 (7)
  14. Trojaner Renos eingefangen?
    Log-Analyse und Auswertung - 05.12.2009 (13)
  15. Mehrfache Trojaner eingefangen, über Firefox.
    Plagegeister aller Art und deren Bekämpfung - 05.11.2009 (13)
  16. Win32/Renos.JF entfernt und langsamer Shutdown
    Log-Analyse und Auswertung - 16.07.2009 (1)
  17. Trojan.Downloader.Agent.ZOQ - richtig entfernt?
    Log-Analyse und Auswertung - 03.09.2008 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Renos.jm über FireFox eingefangen - richtig entfernt? - Hallo zusammen! Euer Board hat mir mit meinem Problem denke ich schon recht weit geholfen. Um wirklich sicher zu gehen, würde ich aber gerne die entsprechenden Logs nochmal durchsehen lassen. - Renos.jm über FireFox eingefangen - richtig entfernt?...
Archiv
Du betrachtest: Renos.jm über FireFox eingefangen - richtig entfernt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19