Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.08.2010, 20:42   #1
blion
 
Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn - Standard

Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn



Schönen Abend liebe Forengemeinschaft,
ich hab mir vor ca. 2 monaten ein notebook mit windows 7 zugelegt.
Gestern, während des Surfens, ist dann irgendne Systemnachricht erschienen die mich gewarnt hat, dass das System dauerhaft geschädigt wird wenn ich jetzt nicht auf den unteren Button klicke um das System zu retten.
Hab mit allen mir bekannten Mitteln versucht die Meldung wegzuklicken und hab schließlich resigniert auf den Button gedrückt, woraufhin das System neu startete.
Ab da an ging quasi nichts mehr, wenn ich das Teil einschalte, bootet es kontinuierlich und hängt sich nach spätestens ner Minute nach Start auf um wieder zu booten. Hab mich heute den ganzen Tag im abgesicherten Modus mit Datenrettung etc. rumgeschlagen, und als Maßnahme
- mehrmals Antivir laufen lassen
- CCleaner installiert und ausgeführt
- SuperAntiSpyware installiert und ausgeführt

Diese Maßnahmen haben mich keinen Deut weitergebracht.
AntiVir hat bei mir folgende Trojaner gefunden:

Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn; Agent.65536
-> diese sind jedoch alle in irgendwelchen Temp Ordnern angesiedelt.
Auch wenn ich keine Ahnung haben erscheinen mir folgende beiden als wesentlich kritischer:
Dropper.Gen2 der in einer Anwendung in folgendem Verzeichnis sitzt C:\$RECYCLE.BIN\... und
Crypt.ZPACK.Gen im Verzeichnis C:\Windows\System32\drivers\nfotjamf.sys

Hier mal der Log von HijackThis (welches im abgesicherten Modus ausgeführt wurde):

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
C:\Users\Toshiba\Desktop\Neuer Ordner\AntiVir Desktop\avcenter.exe
F:\hijackthis\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.bearshare.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [HWSetup] "C:\Program Files\TOSHIBA\Utilities\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Toshiba TEMPRO] C:\Program Files\Toshiba TEMPRO\TemproTray.exe
O4 - HKLM\..\Run: [TosNC] %ProgramFiles%\Toshiba\BulletinBoard\TosNcCore.exe
O4 - HKLM\..\Run: [TosReelTimeMonitor] %ProgramFiles%\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SmartFaceVWatcher] %ProgramFiles%\Toshiba\SmartFaceV\SmartFaceVWatcher.exe
O4 - HKLM\..\Run: [Teco] "%ProgramFiles%\TOSHIBA\TECO\Teco.exe" /r
O4 - HKLM\..\Run: [ToshibaServiceStation] C:\Program Files\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe /hide:60
O4 - HKLM\..\Run: [TosWaitSrv] %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe
O4 - HKLM\..\Run: [TWebCamera] "%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaReminder.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [HKLM] C:\Users\Toshiba\AppData\Roaming\WinDir\svchost.exe
O4 - HKCU\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [HKCU] C:\Users\Toshiba\AppData\Roaming\WinDir\svchost.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Users\Toshiba\AppData\Roaming\WinDir\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Users\Toshiba\AppData\Roaming\WinDir\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (User 'Default user')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\TOSHIBA\TRDCReminder\TRDCReminder.exe (User 'Default user')
O4 - Startup: msnmsngr.ink.lnk = Toshiba\AppData\Local\Temp\DokterWatson.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree WiMAX Service (cfWiMAXService) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFIWmxSvcs.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Notebook Performance Tuning Service (TEMPRO) (TemproMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPRO\TemproSvc.exe
O23 - Service: TMachInfo - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA eco Utility Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TECO\TecoService.exe
O23 - Service: TOSHIBA HDD SSD Alert Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe
O23 - Service: TPCH Service (TPCHSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TPHM\TPCHSrv.exe

Naja ich Scan mal froh weiter und hoffe, jemand kann mir helfen.
Vielen Dank fürs Lesen.

Alt 24.08.2010, 21:07   #2
Swisstreasure
/// Malwareteam
 
Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn - Standard

Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Gehe in den abgesicherten Modus.

Schritt 2
  • Download rkill.com auf den Desktop Desktop.
  • Starte per Doppelklick rkill.com und führe das Programm aus (kann etwas dauern)…
  • Am Ende wird das schwarze Fenster von rkill.com automatisch geschlossen.
  • Wenn eine Meldung von Deiner Sicherheitslösung kommt rkill.com sei Malware, erlaube rkill.com als „Ausnahme“.
  • Bitte poste mir das Logfile.
  • Starte Deinen Rechner NICHT neu wenn rkill.com beendet ist sondern mache folgendes:

Schritt 3

Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung". In der Systemsteuerung befindet sich das Icon "Internetoptionen", dass auswählen.
Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und schau ob bei Proxyserver ein Häkchen steht, wenn ja -> Entfernen, dann ->OK (außer Du weist sicher das der Proxyservereintrag stimmt!).

Schritt 4

Versuche nun mit Malwarebytes einen Fullscan.
__________________


Alt 24.08.2010, 22:01   #3
blion
 
Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn - Standard

Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn



Ok danke für die schnelle Hilfe.
Hier mal das Log:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Toshiba on 24.08.2010 at 22:45:52.


Processes terminated by Rkill or while it was running:


C:\Users\Toshiba\Desktop\rkill.com


Rkill completed on 24.08.2010 at 22:45:53.

Hab ich was falsch gemacht? Da sind ja gar keine Informationen drin enthalten... naja
Also Internetoptionen hab ich in Systemsteuerung nicht gefunden (is das bei Win7 so üblich?), also hab ich beim InetExplorer nachgeschaut - da war tatsächlich ein Häckchen unter "Proxyserver für LAN verwenden". Hab sowohl dieses als auch das untergeordnete Häckchen entfernt.
Malwarebytes läuft bereits.
Vielen Dank nochmals
__________________

Antwort

Themen zu Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn
adobe, alert, antivir, antivir guard, avg, avgnt, avira, bho, desktop, google, hijack, hijackthis, hkus\s-1-5-18, hängt, internet, internet explorer, local\temp, log, nach start, notebook, performance, plug-in, programdata, realtek, recycle.bin, rojaner gefunden, saver, scan, software, superantispyware, system, system neu, temp, trojaner, trojaner gefunden, windows




Ähnliche Themen: Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn


  1. Ebenfalls wssetup.exe geplagt
    Plagegeister aller Art und deren Bekämpfung - 17.07.2013 (18)
  2. mit Verschlüsselten Trojaner geplagt
    Plagegeister aller Art und deren Bekämpfung - 06.12.2012 (11)
  3. Trojan-PSW.Win32.LdPinch.aomj
    Plagegeister aller Art und deren Bekämpfung - 05.02.2011 (14)
  4. AntiVir TR/PSW.LdPinch.asvt
    Plagegeister aller Art und deren Bekämpfung - 05.01.2011 (1)
  5. Geplagt vom Trojaner dropper.gen auf einer externen Festplatte
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (23)
  6. TR/gampass
    Plagegeister aller Art und deren Bekämpfung - 31.12.2009 (3)
  7. Trojan.PSW.LdPinch.ger
    Log-Analyse und Auswertung - 22.05.2009 (78)
  8. TR/Dldr.AGENT.bhhd.1 und WORM/KOObface.CN geplagt
    Plagegeister aller Art und deren Bekämpfung - 14.02.2009 (3)
  9. BDS/Optix.P11.B.Srv und TR/PSW.LdPinch.jm1
    Log-Analyse und Auswertung - 22.12.2008 (3)
  10. infostealer.gampass
    Mülltonne - 08.12.2008 (1)
  11. TR/PSW.LdPinch.wob ?
    Plagegeister aller Art und deren Bekämpfung - 24.07.2008 (7)
  12. Trojaner trojan.pws.ldpinch.ht
    Plagegeister aller Art und deren Bekämpfung - 15.06.2008 (4)
  13. trojan.pws.ldpinch.ht
    Mülltonne - 14.06.2008 (0)
  14. Trojanervirus Trojanische Pferd TR/PSW.LdPinch.bex.78
    Log-Analyse und Auswertung - 14.08.2007 (7)
  15. Trojan.Horse.Pws.Ldpinch.DQY
    Mülltonne - 15.07.2007 (1)
  16. TR/PSW.LdPinch.jm1 und HTML/Exploit.Mhtml
    Log-Analyse und Auswertung - 20.09.2005 (15)
  17. Ich werde mal wida geplagt
    Plagegeister aller Art und deren Bekämpfung - 30.03.2005 (5)

Zum Thema Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn - Schönen Abend liebe Forengemeinschaft, ich hab mir vor ca. 2 monaten ein notebook mit windows 7 zugelegt. Gestern, während des Surfens, ist dann irgendne Systemnachricht erschienen die mich gewarnt hat, - Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn...
Archiv
Du betrachtest: Von Trojanern geplagt - Spy.Gampass.BBC; FakeAv.amm; PSW.LdPinch.aosn auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.