| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Patched.GR.10 in Explorer.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.12.2010, 11:57
| #1 | ||
 |  TR/Patched.GR.10 in Explorer.exe Hallo liebe Experten von Trojaner-Board, nachdem ich hier schon einige Zeit mitlese und mir dadurch schon bei mehreren kleinen Problemen geholfen werden konnte, musste ich mich nun doch anmelden, denn seit neuestem schlägt bei mir Antivir wegen oben genanntem Fund bei meiner Explorer.exe an. Ein Entfernen ist leider nicht möglich, da es sonst beim Starten des PCs Probleme gibt. Ich hab mal OTL laufen lassen und poste die Logs am Ende. Ich hoffe, dass ihr mir hier weiterhelfen könnt und bin schon gespannt auf die Antworten. Zitat:
Zitat:
Nochmal vielen Dank im Voraus. Christian |
|
06.12.2010, 12:23
| #2 |
| /// Malware-holic   | TR/Patched.GR.10 in Explorer.exe bitte erstelle und poste ein combofix log.
__________________Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ |
|
06.12.2010, 12:49
| #3 |
| | TR/Patched.GR.10 in Explorer.exe Danke für die schnelle Antwort.
__________________Hier ist das Log-File Folgende Meldungen sind mir beim Check aufgefallen. 1. Einmal gab es ein Error, weil "run" nicht gefunden wurde 2. 2 Dateien wurden repariert 3. Während der Erstellung des Logs öffnete sich ein Fenster, dass das Profil nicht gefunden werden konnte. Nachdem ich auf OK geklickt habe lief alles weiter. Combofix Logfile: Code:
ATTFilter ComboFix 10-12-04.06 - *** 06.12.2010 12:36:14.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2292 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Dokumente\Server\admin.txt
c:\windows\system32\ui
c:\windows\system32\ui\BANNER\LoadingImgOpt.txt
c:\windows\system32\ui\BANNER\TMP\LoadingImgOpt.txt
Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt
Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-06 bis 2010-12-06 ))))))))))))))))))))))))))))))
.
2010-12-06 10:05 . 2008-04-14 02:22 1036800 ----a-w- c:\windows\explorer.exe
2010-12-06 08:32 . 2010-12-06 08:32 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp
2010-12-05 20:02 . 2010-12-05 20:02 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-12-05 20:02 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-05 20:02 . 2010-12-05 20:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-05 20:02 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-05 20:02 . 2010-12-05 20:02 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-12-05 19:05 . 2010-12-06 10:08 -------- d-----w- c:\windows\system32\NtmsData
2010-12-05 14:18 . 2010-12-05 14:18 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Avira
2010-12-01 18:42 . 2010-12-01 18:42 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\TVU Networks
2010-12-01 18:42 . 2010-12-01 18:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-12-01 18:42 . 2010-12-01 18:42 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\LocalLow
2010-12-01 18:41 . 2010-12-01 18:41 -------- d-----w- c:\dokumente und einstellungen\***\LocalLow
2010-12-01 18:41 . 2010-12-01 18:42 -------- d-----w- c:\programme\TVUPlayer
2010-11-22 12:26 . 2010-11-22 12:26 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Search Settings
2010-11-22 12:26 . 2010-12-06 07:58 -------- d-----w- c:\programme\pdfforge Toolbar
2010-11-22 12:26 . 2010-11-22 12:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Spigot
2010-11-22 12:26 . 2010-11-22 12:26 -------- d-----w- c:\programme\Application Updater
2010-11-22 11:10 . 2010-11-22 11:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SunODFPluginforMicrosoftOffice
2010-11-22 11:09 . 2010-11-22 11:09 -------- d-----w- c:\programme\Sun
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-23 09:16 . 2009-03-18 13:37 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-06 08:53 . 2009-03-18 13:37 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-09-18 10:22 . 2004-08-13 11:40 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-13 11:40 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-13 11:40 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-13 11:40 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-09 14:17 . 2004-08-13 11:40 672768 ----a-w- c:\windows\system32\wininet.dll
2010-09-09 14:17 . 2004-08-13 11:40 61952 ----a-w- c:\windows\system32\tdc.ocx
2010-09-09 14:17 . 2004-08-13 11:40 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-09-09 14:13 . 2004-08-13 11:40 371200 ----a-w- c:\windows\system32\html.iec
.
------- Sigcheck -------
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 4AFB3B0919649F95C1964AA1FAD27D73 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[7] 2004-08-04 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-20 282624]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-26 143360]
"DVDLauncher"="c:\programme\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2006-08-04 169984]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-06 281768]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-07-08 1657376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-07-14 86016]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2010-10-22 524288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Temp\\Atari\\Neverwinter Nights 2\\nwn2main.exe"=
"c:\\Temp\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=
"c:\\Temp\\Atari\\Neverwinter Nights 2\\nwupdate.exe"=
"c:\\Temp\\Atari\\Neverwinter Nights 2\\nwn2server.exe"=
"c:\\Games\\Cyanide\\Radsport Manager Pro 2007\\PCM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\ptc\\proeWildfire2\\i486_nt\\obj\\pro_comm_msg.exe"=
"c:\\ptc\\proeWildfire2\\i486_nt\\obj\\xtop.exe"=
"c:\\ptc\\proeWildfire2\\i486_nt\\nms\\nmsd.exe"=
"c:\\ptc\\proeWildfire3\\i486_nt\\obj\\pro_comm_msg.exe"=
"c:\\ptc\\proeWildfire3\\i486_nt\\obj\\xtop.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Games\\Cyanide\\Tour de France - Saison 2008\\PCM.exe"=
"c:\\Games\\Cyanide\\Tour de France - Saison 2008\\Autorun\\Exe\\Autorun.exe"=
"c:\\Games\\Cyanide\\Tour de France 2009 - Der offizielle Radsport-Manager\\PCM.exe"=
"c:\\Games\\Cyanide\\Tour de France 2009 - Der offizielle Radsport-Manager\\Autorun\\Exe\\Autorun.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Games\\Pro Cycling Manager - Season 2010\\PCM.exe"=
"c:\\Programme\\FlashGet Network\\FlashGet 3\\FlashGet3.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Cyanide\\GameCenter\\GameCenter.exe"=
"c:\\Programme\\Cyanide\\Pro Cycling Manager - Season 2010\\PCM.exe"=
"c:\\Programme\\Cyanide\\Pro Cycling Manager - Season 2010\\Autorun\\Exe\\Autorun.exe"=
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.06.2009 15:07 717296]
R1 appdrv01;Application Driver (01);c:\windows\system32\drivers\appdrv01.sys [21.07.2010 16:23 3333808]
R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [23.09.2010 10:49 148992]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.03.2009 14:37 135336]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [22.10.2010 16:38 386560]
R2 NVIDIA Performance Driver Service;NVIDIA Performance Driver Service;c:\programme\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe [14.05.2009 08:01 4440064]
R3 EuMusDesignVirtualAudioCableWdm_s2x;Sound2x Audio Cable (WDM);c:\windows\system32\drivers\vacs2xkd.sys [18.12.2008 11:34 42880]
S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc --> c:\windows\System32\appdrvrem01.exe svc [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [02.07.2010 08:22 136176]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [18.12.2008 11:34 16512]
.
Inhalt des "geplante Tasks" Ordners
2010-12-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-12-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-02 07:22]
2010-12-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-02 07:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de
mStart Page = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
uInternet Connection Wizard,ShellNext = hxxp://www.google.de/ig/dell?hl=de&client=dell-row-rel&channel=de
uInternet Settings,ProxyOverride = *.local
IE: Download all by FlashGet3 - c:\dokumente und einstellungen\***\Anwendungsdaten\FlashGetBHO\GetAllUrl.htm
IE: Download by FlashGet3 - c:\dokumente und einstellungen\***\Anwendungsdaten\FlashGetBHO\GetUrl.htm
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: kuaiche.com\software
DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} - file://c:\ptc\proeWildfire2\i486_nt\obj\pvx_install.exe
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\gxwam5ak.default\
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{DB9127A2-3381-41ec-82B3-1B6ED4C6F29A}\components\FlashgetXpi.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Extension: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Extension: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Extension: flashget3 Extension: {DB9127A2-3381-41ec-82B3-1B6ED4C6F29A} - c:\programme\Mozilla Firefox\extensions\{DB9127A2-3381-41ec-82B3-1B6ED4C6F29A}
FF - Extension: Flashblock: {3d7eb24f-2740-49df-8937-200b1cc08f8a} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\gxwam5ak.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}
FF - Extension: Flash Killer: flashkiller@joli.clic - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\gxwam5ak.default\extensions\flashkiller@joli.clic
FF - Extension: PopupMaster: {35106bca-6c78-48c7-ac28-56df30b51d2d} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\gxwam5ak.default\extensions\{35106bca-6c78-48c7-ac28-56df30b51d2d}
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\gxwam5ak.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Extension: Ad blocker: {4DC70064-89E2-4a55-8FC6-E8CDEAE3612C} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\gxwam5ak.default\extensions\{4DC70064-89E2-4a55-8FC6-E8CDEAE3612C}
FF - Extension: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\gxwam5ak.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Extension: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
**************************************************************************
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien:
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-261970625-3088159823-4152018182-1005\Software\SecuROM\License information*]
"datasecu"=hex:a5,1d,2d,4b,9e,67,2b,ca,2b,d0,1f,85,62,6f,7e,32,2e,b6,49,a2,8c,
93,71,68,62,62,3e,db,ed,6b,bb,a5,fb,ee,89,31,72,66,17,49,68,86,aa,20,17,2a,\
"rkeysecu"=hex:9c,ed,1e,d2,ce,c1,a0,8a,29,67,c7,09,10,c7,ac,94
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3924)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\ptc\flexnet\i486_nt\obj\lmgrd.exe
c:\ptc\flexnet\i486_nt\obj\lmgrd.exe
c:\programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\stsystra.exe
c:\programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
c:\programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-06 12:43:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-12-06 11:43
Vor Suchlauf: 18 Verzeichnis(se), 320.252.502.016 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 321.604.988.928 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 071FA22A1FACC4B50D0F3CAE0870CE36
|
|
06.12.2010, 12:56
| #4 |
| /// Malware-holic | TR/Patched.GR.10 in Explorer.exe rechtsklick avira schirm, guard deaktivieren. öffne den arbeitsplatz, c: rechtsklick auf qoobox und mit winrar oder zip packen, archiv hochladen. dateiupload: http://www.trojaner-board.de/54791-a...ner-board.html dann öffne malwarebytes, logdateien und poste mir das scan log
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
06.12.2010, 13:19
| #5 | |
| | TR/Patched.GR.10 in Explorer.exe Ok Archiv ist hochgeladen. Soll ich bei Malwarebytes einen erneuten Scan durchführen, oder einen alten Scan (bei dem wurde was gefunden, was ich entfernt hatte) posten? Das wäre das alte Log. Zitat:
|
|
06.12.2010, 14:57
| #6 |
| /// Malware-holic | TR/Patched.GR.10 in Explorer.exe bei keygens hört der suport auf, nur zum neu aufsetzen...
__________________ --> TR/Patched.GR.10 in Explorer.exe |
|
06.12.2010, 15:28
| #7 |
| | TR/Patched.GR.10 in Explorer.exe Ich verstehe deine Antwort nicht so ganz. Du meinst den Bereich Infizierte Registrierungsschlüssel, oder? Ich lasse gerade noch einmal Malwarebytes laufen. Soll ich den Scan dann nochmal posten? Bei dem alten Log steht ja: "Quarantined and deleted successfully" Jetzt hab ich nur noch eine kurze Frage, da ich mich damit nicht wirklich auskenne. Sollte das System danach, nach einem Neustart, einigermaßen stabil laufen, kann ich es dann erstmal so lassen, oder kann ich hier noch mehr Schaden anrichten. Sollte es immer noch nicht funktionieren bleibt wohl nur, dass ich den Computer komplett neu aufsetze, oder? |
|
06.12.2010, 15:29
| #8 |
| /// Malware-holic | TR/Patched.GR.10 in Explorer.exe c:\dokumente und einstellungen\***\eigene dateien\downloads\[08]T\[08]t.part01\htd-tw08\HATRED\keygen.exe (Trojan.Downloader) -> Quarantined and deleted das meine ich.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
06.12.2010, 15:37
| #9 |
| | TR/Patched.GR.10 in Explorer.exe Keine Ahnung was das genau ist. Ich hatte meinen Computer meinem Neffen ausgeliehen. Deshalb wahrscheinlich auch meine Probleme. Kann ich aber nachvollziehen und danke trotzdem für deine Hilfe. Falls ich meinen Computer neu aufsetzen muss, werde ich mich wenn es erlaubt ist nochmal melden. Muss ich bevor ich dieses machen möchte noch irgendetwas wichtiges beachten oder erst einmal Festplatte neu formatieren und Betriebssystem wieder installieren. Danke trotzdem vielmals für deine Mühe. |
|
06.12.2010, 15:47
| #10 |
| /// Malware-holic | TR/Patched.GR.10 in Explorer.exe also sichere erst mal deine daten und dann gebe ich dir ne genaue anleitung zum neu aufsetzen und absichern.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
06.12.2010, 15:56
| #11 |
| | TR/Patched.GR.10 in Explorer.exe Ok werde ich machen. Malwarebyte - Scan war nun auch wieder fertig und hat keine infizierten Objekte mehr gefunden. Ich werde also erst meine Eigenen Dateien und Outlook pst.Dateien sichern. Dann melde ich mich wieder |
|
06.12.2010, 16:06
| #12 |
| | TR/Patched.GR.10 in Explorer.exe Wird aber noch etwas dauern, da ich mir erst noch überlegen muss, wo ich die ganzen Daten zwischenspeichern kann. |
|
07.12.2010, 14:38
| #13 |
| | TR/Patched.GR.10 in Explorer.exe So die Eigenen Dateien sind gesichert und auch meine Outlook-Daten. Wäre jetzt eine für eine kurze Anleitung zum Neu Aufsetzen dankbar. Werde es aber wohl erst am Wochenende durchführen können, damit, falls es länger dauern sollte, meine Arbeit nicht beeinträchtigt wird. |
|
07.12.2010, 14:43
| #14 |
| /// Malware-holic | TR/Patched.GR.10 in Explorer.exe - mit windows cd formatieren, nicht die schnelle formatierung wählen. - windows instalieren - treiber instalieren. - sp3: http://www.microsoft.com/downloads/d...displayLang=de - ie8: Internet Explorer 8: Startseite - automatische updates aktivieren und auf automatisch instalieren stellen Das Konfigurieren und Verwenden von automatischen Updates in Windows XP windows update seite aufsuchen, fehlende updates instalieren. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. avira genauestens nach anleitung instalieren: http://www.trojaner-board.de/54192-a...tellungen.html achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig. unter avira, konfiguration, guard, autostart, haken raus lassen. als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden mit diesem tool lässt sich ein werbeblocker laden Opera URLFilter Downloader ? OperaWiki dies sollte 1x pro woche durchgeführt werden. zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. achtung: bei einigen programmen werden englische setups angeboten. das sollte man ersehen können, die setupdateien sollten ein .en oder .us enthalten. wenn dem so ist, sollte man beim hersteller schauen, dort gibts die deutschen setups zu laden. Falls du die hersteller seite nicht kennst, google wird bestimmt behilflich sein :-) regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Paragon Backup & Recovery Free Edition - Das Produkt außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen. - programme patches etc immer nur vom hersteller direkt laden. passwörter endern. surfe nur noc in der sandbox, mit klick auf sandboxed web browser.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
07.12.2010, 14:55
| #15 |
| | TR/Patched.GR.10 in Explorer.exe Vielen, vielen Dank für deine ausführliche Antwort. Werde mich spätestens am Wochenende daran setzen und die Einstellungen so übernehmen. Ein paar Sachen kannte ich schon, aber hier sind noch viele Sachen, die für mich neu sind. Zum Glück habe ich noch einen Laptop, mit dem ich notfalls ins Netz kann, wenn ich Probleme bekommen sollte. Werde mich in diesem Falle dann wieder melden. |
|
| Themen zu TR/Patched.GR.10 in Explorer.exe |
| 0x00000001, 7-zip, antivir, avgntflt.sys, avira, bho, bonjour, canon, desktop, entfernen, error, extras.txt, firefox, flash drive, flash player, fontcache, google, helper, homepage, iastor.sys, install.exe, installation, internet browser, jusched.exe, location, logfile, mozilla, mp3, msiinstaller, nicht möglich, oldtimer, opera.exe, otl logfile, otl.exe, otl.txt, pirates, plug-in, prozess, realtek, registry, saver, scan, sched.exe, searchplugins, security, server, shell32.dll, software, spigot, sptd.sys, starten, svchost, system restore, torrent.exe, trojaner-board |
NA -- (BitTorrent, Inc.)
ro_comm_msg -- (PTC)
Linear-Darstellung
