Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "YOUR PROTECTION" und "TDSS" volkommen gelöscht?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 08.04.2010, 21:21   #1
Martinius
 
"YOUR PROTECTION" und "TDSS" volkommen gelöscht? - Standard

"YOUR PROTECTION" und "TDSS" volkommen gelöscht?



Hallo zusammen

Ich hab gestern bekanntschaft mit "YOUR PROTECTION" gemacht. Ich habe eine vermeintlich neue Version eines Flashplayers insatllieren wollen als plötzlich die Wahrnung von Avira Antivir kam. Eine installations anfrage eines weitern Programms habe ich verweigert, was es war weiß ich nicht mehr aber da es ja nicht installiert worden ist denk ich ist es auch nicht so wichtig.

Habe dann zunächst Ad-Aware installiert und das Prograamm Scannen lassen.
Kam folgendes bei rum:

Code:
ATTFilter
Logfile created: 07.04.2010 21:04:28
Ad-Aware version: 8.2.2
User performing scan: Martin

*********************** Definitions database information ***********************
Lavasoft definition file: 149.198
Genotype definition file version: 2010/04/06 15:06:27

******************************** Scan results: *********************************
Scan profile name: Vollständiger Scan  (ID: full)
Objects scanned: 211413
Objects detected: 22


Type              Detected
==========================
Processes.......:        1
Registry entries:        4
Hostfile entries:        0
Files...........:        2
Folders.........:        2
LSPs............:        0
Cookies.........:       13
Browser hijacks.:        0
MRU objects.....:        0



Removed items:
Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0
Description: *ivwbox* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409247 Family ID: 0
Description: *adfarm1.adition* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409171 Family ID: 0
Description: *adtech* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409018 Family ID: 0
Description: *atdmt* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408910 Family ID: 0
Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0
Description: *ivwbox* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409247 Family ID: 0
Description: *2o7* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408943 Family ID: 0
Description: *wunderloop* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 599639 Family ID: 0
Description: *tradedoubler* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408964 Family ID: 0
Description: *wunderloop* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 599639 Family ID: 0
Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0
Description: *ivwbox* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409247 Family ID: 0
Description: c:\program files (x86)\your protection Family Name: Win32.FraudTool.PaladinAntivirus Engine: 1 Clean status: Success Item ID: 3429948 Family ID: 2494514
Description: c:\users\martin\appdata\roaming\microsoft\windows\start menu\programs\your protection Family Name: Win32.FraudTool.PaladinAntivirus Engine: 1 Clean status: Success Item ID: 3429954 Family ID: 2494514

Quarantined items:
Description: c:\users\***\appdata\local\temp\mplay32xe.exe Family Name: Win32.FraudTool.PaladinAntivirus/B Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
Description: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Your Protection: Family Name: Win32.FraudTool.PaladinAntivirus Engine: 1 Clean status: Success Item ID: 3429941 Family ID: 2494514
Description: HKLM:SOFTWARE\Your Protection: Family Name: Win32.FraudTool.PaladinAntivirus Engine: 1 Clean status: Success Item ID: 3429942 Family ID: 2494514
Description: HKU:S-1-5-21-3031591490-684083384-409637594-1001\Software\Microsoft\Windows\CurrentVersion\Run:mplay32xe.exe Family Name: Win32.FraudTool.PaladinAntivirus Engine: 1 Clean status: Success Item ID: 3429943 Family ID: 2494514
Description: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved:{5E2121EE-0300-11D4-8D3B-444553540000} Family Name: Win32.FraudTool.PaladinAntivirus Engine: 1 Clean status: Success Item ID: 3429946 Family ID: 2494514
Description: c:\users\***\desktop\your protection.lnk Family Name: Win32.FraudTool.PaladinAntivirus Engine: 1 Clean status: Success Item ID: 3429949 Family ID: 2494514 MD5: 385b14effe06f249b8a7a19e4a0766d6
Description: c:\users\***\desktop\your protection support.lnk Family Name: Win32.FraudTool.PaladinAntivirus Engine: 1 Clean status: Success Item ID: 3429950 Family ID: 2494514 MD5: 0b5a8aeeb006fc93628584b6a72034c0

Scan and cleaning complete: Finished correctly after 2186 seconds

*********************************** Settings ***********************************

Scan profile:
ID: full, enabled:1, value: Vollständiger Scan
  ID: folderstoscan, enabled:1, value: C:\,D:\,E:\,F:\
  ID: useantivirus, enabled:1, value: true
  ID: sections, enabled:1
    ID: scancriticalareas, enabled:1, value: true
    ID: scanrunningapps, enabled:1, value: true
    ID: scanregistry, enabled:1, value: true
    ID: scanlsp, enabled:1, value: true
    ID: scanads, enabled:1, value: true
    ID: scanhostsfile, enabled:1, value: true
    ID: scanmru, enabled:1, value: true
    ID: scanbrowserhijacks, enabled:1, value: true
    ID: scantrackingcookies, enabled:1, value: true
      ID: closebrowsers, enabled:1, value: false
  ID: filescanningoptions, enabled:1
    ID: archives, enabled:1, value: true
    ID: onlyexecutables, enabled:1, value: false
    ID: skiplargerthan, enabled:1, value: 20480
    ID: scanrootkits, enabled:1, value: true
      ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict
    ID: usespywareheuristics, enabled:1, value: true

Scan global:
ID: global, enabled:1
  ID: addtocontextmenu, enabled:1, value: true
  ID: playsoundoninfection, enabled:1, value: false
    ID: soundfile, enabled:0, value: *to be filled in automatically*\alert.wav

Scheduled scan settings:
<Empty>

Update settings:
ID: updates, enabled:1
  ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently
  ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall
  ID: schedules, enabled:1, value: true
    ID: updatedaily1, enabled:1, value: Daily 1
      ID: time, enabled:1, value: Wed Apr 07 21:01:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily2, enabled:1, value: Daily 2
      ID: time, enabled:1, value: Wed Apr 07 03:01:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily3, enabled:1, value: Daily 3
      ID: time, enabled:1, value: Wed Apr 07 09:01:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updatedaily4, enabled:1, value: Daily 4
      ID: time, enabled:1, value: Wed Apr 07 15:01:00 2010
      ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: false
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: false
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false
    ID: updateweekly1, enabled:1, value: Weekly
      ID: time, enabled:1, value: Wed Apr 07 21:01:00 2010
      ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly
      ID: weekdays, enabled:1
        ID: monday, enabled:1, value: false
        ID: tuesday, enabled:1, value: false
        ID: wednesday, enabled:1, value: true
        ID: thursday, enabled:1, value: false
        ID: friday, enabled:1, value: false
        ID: saturday, enabled:1, value: true
        ID: sunday, enabled:1, value: false
      ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31
      ID: scanprofile, enabled:1, value: 
      ID: auto_deal_with_infections, enabled:1, value: false

Appearance settings:
ID: appearance, enabled:1
  ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
  ID: showtrayicon, enabled:1, value: true
  ID: autoentertainmentmode, enabled:1, value: true
  ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple
  ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

Realtime protection settings:
ID: realtime, enabled:1
  ID: layers, enabled:1
    ID: useantivirus, enabled:1, value: true
    ID: usespywareheuristics, enabled:1, value: true
  ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant
  ID: modules, enabled:1
    ID: processprotection, enabled:1, value: true
    ID: onaccessprotection, enabled:1, value: true
    ID: registryprotection, enabled:1, value: true
    ID: networkprotection, enabled:1, value: true


****************************** System information ******************************
Computer name: ***-PC
Processor name: Intel(R) Core(TM) i5 CPU       M 520  @ 2.40GHz
Processor identifier: Intel64 Family 6 Model 37 Stepping 2
Processor speed: ~2394MHZ
Raw info: processorarchitecture 9, processortype 8664, processorlevel 6, processor revision 9474, number of processors 4, processor features: [MMX,SSE,SSE2,SSE3]
Physical memory available: 2858827776 bytes
Physical memory total: 4218281984 bytes
Virtual memory available: 1671823360 bytes
Virtual memory total: 2147352576 bytes
Memory load: 32%
Microsoft  (build 7600)
Windows startup mode:

Running processes:
PID: 328 name: C:\Windows\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 476 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 540 name: C:\Windows\System32\wininit.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 568 name: C:\Windows\System32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 608 name: C:\Windows\System32\services.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 624 name: C:\Windows\System32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 632 name: C:\Windows\System32\lsm.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 728 name: C:\Windows\System32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 796 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 892 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 932 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1020 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 408 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 480 name: C:\Windows\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 704 name: C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_d15ed671de43d681\stacsv64.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1288 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1336 name: C:\Windows\System32\hpservice.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1396 name: C:\Windows\System32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 1472 name: C:\Windows\System32\nvvsvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1520 name: C:\Windows\System32\wlanext.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1528 name: C:\Windows\System32\conhost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1584 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1664 name: C:\Windows\System32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1696 name: C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1716 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 1828 name: C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_d15ed671de43d681\AESTSr64.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1848 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1892 name: C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1912 name: C:\Program Files (x86)\Bonjour\mDNSResponder.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1956 name: C:\Windows\SysWOW64\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2004 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2040 name: C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1036 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1192 name: C:\Windows\System32\conhost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1368 name: C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 1740 name: C:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2084 name: C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2116 name: C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2432 name: C:\Windows\System32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2504 name: C:\Windows\System32\wbem\WmiPrvSE.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 2732 name: C:\Windows\System32\taskhost.exe owner: *** domain: ***-PC
PID: 2812 name: C:\Windows\System32\dwm.exe owner: *** domain: ***-PC
PID: 2840 name: C:\Windows\explorer.exe owner: *** domain: ***-PC
PID: 3024 name: C:\Program Files\Synaptics\SynTP\SynTPEnh.exe owner: *** domain: ***-PC
PID: 3032 name: C:\Program Files\IDT\WDM\sttray64.exe owner: *** domain: ***-PC
PID: 3040 name: C:\Program Files\Java\jre6\bin\jusched.exe owner: *** domain: ***-PC
PID: 3048 name: C:\Program Files\Windows Sidebar\sidebar.exe owner: *** domain: ***-PC
PID: 2584 name: C:\Users\***\AppData\Local\Temp\mplay32xe.exe owner: *** domain: ***-PC
PID: 2828 name: C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE owner: *** domain: ***-PC
PID: 2960 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-Aware.exe owner: *** domain: ***-PC
PID: 2672 name: C:\Windows\System32\SearchIndexer.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3252 name: C:\Program Files\Synaptics\SynTP\SynTPHelper.exe owner: *** domain: ***-PC
PID: 3300 name: C:\Program Files\Windows Media Player\wmpnetwk.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT
PID: 3708 name: C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe owner: *** domain: ***-PC
PID: 3944 name: C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe owner: *** domain: ***-PC
PID: 3952 name: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe owner: *** domain: ***-PC
PID: 3972 name: C:\Windows\System32\taskeng.exe owner: *** domain: ***-PC
PID: 3980 name: C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe owner: *** domain: ***-PC
PID: 4068 name: C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe owner: *** domain: ***-PC
PID: 3172 name: C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe owner: *** domain: ***-PC
PID: 3176 name: C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe owner: *** domain: ***-PC
PID: 3424 name: C:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe owner: *** domain: ***-PC
PID: 3196 name: C:\Program Files (x86)\iTunes\iTunesHelper.exe owner: *** domain: ***-PC
PID: 3220 name: C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3272 name: C:\Program Files (x86)\Razer\Diamondback 3G\razerhid.exe owner: *** domain: ***-PC
PID: 3264 name: C:\Windows\System32\SearchProtocolHost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 3640 name: C:\Windows\System32\SearchFilterHost.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 164 name: C:\Windows\System32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT
PID: 2352 name: C:\Program Files (x86)\Razer\Diamondback 3G\razertra.exe owner: *** domain: ***-PC
PID: 336 name: C:\Program Files (x86)\Razer\Diamondback 3G\razerofa.exe owner: *** domain: ***-PC
PID: 1216 name: C:\Program Files (x86)\Hewlett-Packard\Shared\HpqToaster.exe owner: *** domain: ***-PC
PID: 2208 name: C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4192 name: C:\Program Files\iPod\bin\iPodService.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4212 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWWSC.exe owner: SYSTEM domain: NT-AUTORITÄT
PID: 4412 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe owner: Martin domain: Martin-PC
PID: 4444 name: C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWWSC.exe owner: SYSTEM domain: NT-AUTORITÄT

Startup items:
Name: WebCheck
          imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Name: Corel File Shell Monitor
          imagepath: C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
Name: 
          imagepath: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini

Bootexecute items:
Name: 
          imagepath: autocheck autochk *

Running services:
Name: AeLookupSvc
          displayname: Anwendungserfahrung
Name: AESTFilters
          displayname: Andrea ST Filters Service
Name: AntiVirSchedulerService
          displayname: Avira AntiVir Planer
Name: AntiVirService
          displayname: Avira AntiVir Guard
Name: Appinfo
          displayname: Anwendungsinformationen
Name: Apple Mobile Device
          displayname: Apple Mobile Device
Name: AudioEndpointBuilder
          displayname: Windows-Audio-Endpunkterstellung
Name: AudioSrv
          displayname: Windows-Audio
Name: BFE
          displayname: Basisfiltermodul
Name: Bonjour Service
          displayname: Dienst "Bonjour"
Name: Browser
          displayname: Computerbrowser
Name: Com4QLBEx
          displayname: Com4QLBEx
Name: CryptSvc
          displayname: Kryptografiedienste
Name: DcomLaunch
          displayname: DCOM-Server-Prozessstart
Name: Dhcp
          displayname: DHCP-Client
Name: Dnscache
          displayname: DNS-Client
Name: DPS
          displayname: Diagnoserichtliniendienst
Name: EapHost
          displayname: Extensible Authentication-Protokoll
Name: eventlog
          displayname: Windows-Ereignisprotokoll
Name: EventSystem
          displayname: COM+-Ereignissystem
Name: ezSharedSvc
          displayname: Easybits Shared Services for Windows
Name: fdPHost
          displayname: Funktionssuchanbieter-Host
Name: FDResPub
          displayname: Funktionssuche-Ressourcenveröffentlichung
Name: gpsvc
          displayname: Gruppenrichtlinienclient
Name: hidserv
          displayname: Zugriff auf Eingabegeräte
Name: HomeGroupListener
          displayname: Heimnetzgruppen-Listener
Name: HomeGroupProvider
          displayname: Heimnetzgruppen-Anbieter
Name: hpqwmiex
          displayname: hpqwmiex
Name: hpsrv
          displayname: HP Service
Name: ICQ Service
          displayname: ICQ Service
Name: iphlpsvc
          displayname: IP-Hilfsdienst
Name: iPod Service
          displayname: iPod-Dienst
Name: KeyIso
          displayname: CNG-Schlüsselisolation
Name: LanmanServer
          displayname: Server
Name: LanmanWorkstation
          displayname: Arbeitsstationsdienst
Name: Lavasoft Ad-Aware Service
          displayname: Lavasoft Ad-Aware Service
Name: LightScribeService
          displayname: LightScribeService Direct Disc Labeling Service
Name: lmhosts
          displayname: TCP/IP-NetBIOS-Hilfsdienst
Name: MMCSS
          displayname: Multimediaklassenplaner
Name: MpsSvc
          displayname: Windows-Firewall
Name: Netman
          displayname: Netzwerkverbindungen
Name: netprofm
          displayname: Netzwerklistendienst
Name: NlaSvc
          displayname: NLA (Network Location Awareness)
Name: nsi
          displayname: Netzwerkspeicher-Schnittstellendienst
Name: nvsvc
          displayname: NVIDIA Display Driver Service
Name: p2pimsvc
          displayname: Peernetzwerkidentitäts-Manager
Name: p2psvc
          displayname: Peernetzwerk-Gruppenzuordnung
Name: PcaSvc
          displayname: Programmkompatibilitäts-Assistent-Dienst
Name: PlugPlay
          displayname: Plug & Play
Name: PNRPsvc
          displayname: Peer Name Resolution-Protokoll
Name: Power
          displayname: Stromversorgung
Name: ProfSvc
          displayname: Benutzerprofildienst
Name: PSI_SVC_2
          displayname: Protexis Licensing V2
Name: RichVideo
          displayname: Cyberlink RichVideo Service(CRVS)
Name: RpcEptMapper
          displayname: RPC-Endpunktzuordnung
Name: RpcSs
          displayname: Remoteprozeduraufruf (RPC)
Name: SamSs
          displayname: Sicherheitskonto-Manager
Name: Schedule
          displayname: Aufgabenplanung
Name: SeaPort
          displayname: SeaPort
Name: SENS
          displayname: Benachrichtigungsdienst für Systemereignisse
Name: ShellHWDetection
          displayname: Shellhardwareerkennung
Name: Spooler
          displayname: Druckwarteschlange
Name: SSDPSRV
          displayname: SSDP-Suche
Name: STacSV
          displayname: Audio Service
Name: SysMain
          displayname: Superfetch
Name: Themes
          displayname: Designs
Name: TrkWks
          displayname: Überwachung verteilter Verknüpfungen (Client)
Name: upnphost
          displayname: UPnP-Gerätehost
Name: UxSms
          displayname: Sitzungs-Manager für Desktopfenster-Manager
Name: WdiServiceHost
          displayname: Diagnosediensthost
Name: WdiSystemHost
          displayname: Diagnosesystemhost
Name: WinHttpAutoProxySvc
          displayname: WinHTTP-Web Proxy Auto-Discovery-Dienst
Name: Winmgmt
          displayname: Windows-Verwaltungsinstrumentation
Name: Wlansvc
          displayname: Automatische WLAN-Konfiguration
Name: WMPNetworkSvc
          displayname: Windows Media Player-Netzwerkfreigabedienst
Name: WPDBusEnum
          displayname: Enumeratordienst für tragbare Geräte
Name: WSearch
          displayname: Windows Search
Name: wudfsvc
          displayname: Windows Driver Foundation - Benutzermodus-Treiberframework
         
Ich habe dann versucht wie in der Beschreibung "Your Protection entfernen" (.....board.de/84400-your-protection-entfernen.html) vorzugehen.
Mit "rkill.com" Malware-Prozesse gestoppt und ohne Probleme Malwarebytes installiert und scannen lassen.
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3966

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07.04.2010 22:46:46
mbam-log-2010-04-07 (22-46-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 287343
Laufzeit: 28 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Users\***\AppData\Roaming\Your Protection (Rogue.YourProtection) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Users\***\AppData\Local\Temp\593A.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\asd7416.tmp.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\dhdhtrdhdrtr5y (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\TMP592B.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Local\Temp\_VOID6a69.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\***\Favorites\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\***\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Your Protection.lnk (Rogue.YourProtection) -> Quarantined and deleted successfully.
         
Bis hierhin verlief alles reibungslos aber mit dem Rootkit.TDSS enfernen hatte ich dann probleme, weil das Programm von Kaspersky nicht mit meiner 64bit Version von Windows 7 kompatibel ist.
(http://www.trojaner-board.de/82358-t...entfernen.html)

Ich hab dann nach den dort stehenden dateien gesucht sie aber nicht gefunden. Heißt das jetzt mein PC ist sauber oder könnten da jetzt durchaus noch unerwünschtes zu finden sein?

CCleaner habe ich durchlaufen lassen. Benötigt ihr infos über diesen vorgang eine Logdatei oder den Reg.-eintrag den ich gespeichert habe?

RSIT läuft leider nicht (AutoIT Error Line -1: Error: Variable used without being declared.)

Könnt ihr mir auch ohne die Logdatei des RSIT helfen? Ich werd aufjedenfall nochmal versuchen das zum laufen zu bekommen!



Gruß, Martinius!

 

Themen zu "YOUR PROTECTION" und "TDSS" volkommen gelöscht?
ad-aware, adfarm, adobe, antivir, antivirus, avira, awareness, benachrichtigungsdienst, bonjour, c:\windows\system32\services.exe, conhost.exe, cpu, desktop, disabletaskmgr, dwm.exe, enfernen, entfernen, error, frage, gruppe, jusched.exe, kaspersky, launch, local\temp, logfile, malwarebytes' anti-malware, microsoft, neue version, nicht installiert, nvidia, programdata, required, rkill.com, scan, sched.exe, seaport.exe, services.exe, software, start menu, svchost.exe, syswow64, taskhost.exe, temp, updates, windows, winlogon.exe, wmp




Ähnliche Themen: "YOUR PROTECTION" und "TDSS" volkommen gelöscht?


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  4. "System Progressive Protection" / "BDS/ZeroAccess.Gen"
    Log-Analyse und Auswertung - 11.01.2013 (12)
  5. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  6. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  7. "Malware Protection" entfernt und nun "Windows Vista Restore" und diverse Festplattenwarnungen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2011 (28)
  8. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  9. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  10. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  11. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  12. Problem mit "TR/TDss.AE.22" und "TR/Crypt.XPACK.Gen"
    Mülltonne - 16.12.2008 (0)
  13. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  14. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  15. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  16. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema "YOUR PROTECTION" und "TDSS" volkommen gelöscht? - Hallo zusammen Ich hab gestern bekanntschaft mit "YOUR PROTECTION" gemacht. Ich habe eine vermeintlich neue Version eines Flashplayers insatllieren wollen als plötzlich die Wahrnung von Avira Antivir kam. Eine installations - "YOUR PROTECTION" und "TDSS" volkommen gelöscht?...

Alle Zeitangaben in WEZ +1. Es ist jetzt 09:05 Uhr.


Copyright ©2000-2025, Trojaner-Board
Archiv
Du betrachtest: "YOUR PROTECTION" und "TDSS" volkommen gelöscht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.