|
Keylogger/ spy ware Hallo, ich hatte vor kurzem einen keylogger auf meinem pc.denke ich konnte ihn entfernen, habe allerdings angst, dass sich noch irgendeine spy ware auf meinem pc versteckt.habe ein log file erstellt.wäre super, wenn mir es jemand auswerten könnte bzw. schauen ob irgendetwas auffällig ist...Danke im Vorraus!! hier der file Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 17:35:39, on 05.10.2011 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18928) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Tablet\Wacom\Wacom_TabletUser.exe C:\Windows\System32\hkcmd.exe C:\Windows\System32\igfxpers.exe C:\Program Files\FSC OSD Utility\OSDUtility.exe C:\Program Files\FSC Launch Manager\LaunchMgr.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\DivX\DivX Update\DivXUpdate.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Microsoft Encarta\Encarta Reference Library 2006 DVD\EDICT.EXE C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE C:\Windows\system32\igfxsrvc.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Windows\ehome\ehmsas.exe C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O1 - Hosts: ::1 localhost O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Encarta Web Companion Helper Object - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Common Files\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing) O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe O4 - HKLM\..\Run: [FSC OSD Utility] c:\PROGRA~1\FSCOSD~1\OSDUTI~1.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FSCRecovery] c:\Program Files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe O4 - HKLM\..\Run: [Norman ZANDA] "C:\Program Files\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH O4 - HKLM\..\Run: [NPCTray] C:\Program Files\Norman\npc\bin\npc_tray.exe /LOAD O4 - HKLM\..\Run: [Google EULA Launcher] c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe IE PA O4 - HKLM\..\Run: [Launch Manager] C:\PROGRA~1\FSCLAU~1\LAUNCH~1.EXE O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [E06ZXLRD_390418195] "C:\Program Files\Microsoft Encarta\Encarta Reference Library 2006 DVD\EDICT.EXE" -m O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe O4 - HKCU\..\Run: [UWUB9FXD4I5W7H6BRZVAASAZKJZCH] C:\okdfuhsduyv\okdfuhsduyv.exe /q O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1593137734-4065398146-2785706905-1003\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User '?') O4 - HKUS\S-1-5-21-1593137734-4065398146-2785706905-1005\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'internet') O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: FSCLBaseUpdaterService - Unknown owner - C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: Norman ZANDA - Unknown owner - C:\Program Files\Norman\Npm\Bin\Zanda.exe (file missing) O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\Program Files\Tablet\Wacom\Wacom_Tablet.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe -- End of file - 11559 bytes |
hi, du updatest nicht regelmäßig, da ists nicht verwunderlich! otl: Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
|
danke für die schnelle Antwort. Hier die files: |
hiho achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKCU..\Run: [UWUB9FXD4I5W7H6BRZVAASAZKJZCH] C:\okdfuhsduyv\okdfuhsduyv.exe () :Files C:\okdfuhsduyv :Commands [purity] [EMPTYFLASH] [resethosts] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne computer, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
Hallo, OTL stürzt leider immer wieder ab.Bis jetzt hat es nicht funktioniert ein textdokument zu erstellen. lg |
ok. combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
okay, hier der log file mit combofix AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\program files\INSTALL.LOG c:\windows\IsUn0407.exe . . ((((((((((((((((((((((( Dateien erstellt von 2011-09-05 bis 2011-10-05 )))))))))))))))))))))))))))))) . . 2011-10-05 20:05 . 2011-10-05 20:05 -------- d-----w- c:\users\AppData\Local\temp 2011-10-05 20:05 . 2011-10-05 20:05 -------- d-----w- c:\users\Default\AppData\Local\temp 2011-10-05 16:47 . 2011-10-05 16:57 -------- d-----w- C:\_OTL 2011-10-05 15:34 . 2011-10-05 15:34 388096 ----a-r- c:\users\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 2011-10-05 15:33 . 2011-10-05 15:33 -------- d-----w- c:\program files\Trend Micro 2011-10-05 14:18 . 2011-10-05 14:18 -------- d-----w- c:\users\internet 2011-10-05 14:17 . 2011-10-05 14:17 -------- d-----w- c:\program files\Win-SeO 2011-10-05 14:17 . 2006-12-14 14:56 187570 ----a-w- c:\windows\win-seo.exe . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-07-24 13:44 . 2011-05-30 11:25 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-07-24 13:42 . 2011-07-24 13:42 472808 ----a-w- c:\windows\system32\deployJava1.dll 2011-10-04 18:40 . 2011-07-13 14:33 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] "E06ZXLRD_390418195"="c:\program files\Microsoft Encarta\Encarta Reference Library 2006 DVD\EDICT.EXE" [2005-06-04 301776] "AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2011-01-08 102400] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-06-15 15141768] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="RtHDVCpl.exe" [2008-07-16 6253088] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-12 150040] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-12 170520] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-12 145944] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "FSCRecovery"="c:\program files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe" [2008-06-18 268096] "Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480] "DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768] "AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-03-15 499608] "SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096] "AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-07-22 402432] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-03-07 421160] "DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888] "AdobeCS5.5ServiceManager"="c:\program files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" [2011-01-12 1523360] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696] . c:\users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-13 561213] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 0 (0x0) "ConsentPromptBehaviorUser"= 0 (0x0) "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "mixer2"=wdmaud.drv . [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1593137734-4065398146-2785706905-1000] "EnableNotificationsRef"=dword:00000001 . R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R3 cusbohcn;cusbohcn;c:\users\AppData\Local\Temp\cusbohcn.sys [x] R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112] R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976] R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856] R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096] R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\DRIVERS\wacmoumonitor.sys [2010-11-02 10752] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504] S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-08-22 639224] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-28 136360] S2 FSCLBaseUpdaterService;FSCLBaseUpdaterService;c:\program files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe [2007-06-04 65536] S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472] S2 TabletServiceWacom;TabletServiceWacom;c:\program files\Tablet\Wacom\Wacom_Tablet.exe [2010-11-15 4807536] S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608] S3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187B.sys [2008-06-26 337920] . . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - FSUSBEXDISK . Inhalt des "geplante Tasks" Ordners . 2011-10-05 c:\windows\Tasks\User_Feed_Synchronization-{C9389E71-A196-45D8-AF8B-B1CD3264CCF2}.job - c:\windows\system32\msfeedssync.exe [2010-06-16 04:30] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD uInternet Settings,ProxyOverride = *.local IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Senden an &Bluetooth-Gerät... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm TCP: DhcpNameServer = 192.168.178.1 FF - ProfilePath - c:\users\AppData\Roaming\Mozilla\Firefox\Profiles\tnwbvut6.default\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKLM-Run-Norman ZANDA - c:\program files\Norman\Npm\Bin\ZLH.EXE HKLM-Run-NPCTray - c:\program files\Norman\npc\bin\npc_tray.exe HKLM-Run-GrooveMonitor - c:\program files\Microsoft Office\Office12\GrooveMonitor.exe HKLM-Run-NPSStartup - (no file) HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe HKU-Default-Run-fsc-reg - c:\fsc-reg\fscreg.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-10-05 22:05 Windows 6.0.6001 Service Pack 1 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'Explorer.exe'(6060) c:\windows\system32\btmmhook.dll . Zeit der Fertigstellung: 2011-10-05 22:09:18 ComboFix-quarantined-files.txt 2011-10-05 20:09 . Vor Suchlauf: 17 Verzeichnis(se), 15.837.634.560 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 22.555.897.856 Bytes frei . - - End Of File - - 5C5021C813BCC5C25431D00716F21C14 |
hi, kannst du mir mal trotzdem, wie nach dem otl fix beschrieben, den ordner moved files gepackt im upload channel hochladen, wie das geht steht im link der im post 4 zu finden ist. sieht so aus als könnte otl doch gelaufen sein. |
den ordner moved files.rar habe ich erstellt...leider geht rar nicht hochzuladen... |
bist du dem link zum upload channel gefolgt? du sollst das nicht hier im forum an deinen beitrag anhängen, lesen bitte! |
okay, werde das mit dem upload channel machen. |
danke fürs löschen, geladen habe ichs jetzt :-) weiter gehts: machst du onlinebanking einkäufe oder sonst was wichtiges mit diesem pc |
ja mache online banking...muss ich nun was beachten? |
ja, du musst dein onlinebanking sperren lassen. rufe dafür sofort die bank an, da du nen trojaner auf dem system hast, der bank daten stiehlt. da diese trojaner malware nachladen können, musst du dein system formatieren und windows neu instalieren. vorher daten sichern. ich gebe dir anleitungen für alles. wie ich ja am anfang gesagt habe, ist dein windows sehr schlecht mit updates versorgt worden, das ist fahrlässig, da du damit den trojanern tür und tor öffnest, quasi eine einladung, ich werde dir aufzeigen, wie du das in zukunft richtig machst. |
okay, das ist geschehen.mein antivir zeigt allerdings keinen trojaner.wie hast du das erkannt?was muss ich nun tun? |
die datei die du mir gesendet hast, ist ein sogenannter spyeye trojaner. was jetzt geschehen sollte ist, dass du deine wichtigen bilder, dokumente, musikdateien etc, die auf c: liegen sicherst, zb auf ne externe festplatte, rolinge oder ähnliches. dann müssen wir den pc formatieren und neu aufsetzen. dazu musst du die entsprechenden cds bzw dvds raussuchen. falls du nicht weist wie man formatiert, erkläre ichs dir gern. |
bin dabei alles zu sichern. nein, wie das formatieren geht weis ich leider nicht. kannst du mir sagen, warum mein antivir s´diesen trojaner nicht erkennt?hoffe das ding versteckt sich nicht schon länger auf meinem pc:( danke für deine hilfe! |
ja, warum antivir ihn nicht erkennt kann ich dir nicht genau sagen. warscheinlich weil sie diesen trojaner noch nicht in ihrer datenbank haben. von dem gedanken, dass ein antimalware programm 100 % aller trojaner, rootkits und so weiter erkennt, solltest du dich sehr schnell verabschieden :-) ich weis das die hersteller anderes behaupten, aber das ist werbung. du solltest auch nicht vergessen, dass avira, außer signaturen und web schutz nicht viel zu bieten hatt, da gibts kostenlose alternativen die besser sind, und eine kostenplichtige die ich persönlich favorisiere, da sie, in meinen tests, alles an aktueller malware blockt. (ist auch kein 100 %iger schutz, denn man kann nie 100 % sicher sein) wie ich bereits sagte :-) desweiteren werde ich dir weiterführende maßnamen zeigen, die leicht umzusetzen sind und dir helfen, dass system in zukunft richtig zu schützen. |
wie kann ich denn herausfinden, wo sich der trojaner versteckt? bzw. wie kann ich sicher sein, dass der dann nicht auch bei meiner daten sicherung drauf ist? |
deaktiviere mal autorun: Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de auf dem neuen system scannen wir die datensicherung noch mal bevor sie auf den pc gelangt. |
geschehen.und nun? |
hast du ne windows cd, ne recovery cd vom herstellers deines pcs oder nutzt du ein recovery programm? |
ich habe eine recovery cd vom hersteller.habe mir allerdings überlegt, ein neues betriebsystem zu installieren. wie muss ich nun vorgehen? |
hi. du meinst anstelle von windows vista willst du windows 7 instalieren? oder: du willst vista komplett neu instalieren, denn das wäre ja mein plan gewesen :-) |
:) hatte vor, windows 7 zu installieren |
na dann musst du dir wohl windows 7 kaufen :-) oder hast du bereits windows 7 zu hause. wenn du windows 7 kaufst, würde ich übers internet bestellen, natürlich nicht von dem betroffenen system aus, bei amazon sind die preise ok. nimm aber nicht die starter version, home ist besser. kannst natürlich auch in elektronik märkten vergleichen und dir das günstigste raus suchen, gibt ja preisschwankungen. |
ja, das werde ich tun.werde mir es heute kaufen.danke habe nun alles mögliche über spyeye gelesen, scheint ja richtig fies zu sein.muss ich noch irgendwas berücksichtigen? |
nein. wenn du dir windows 7 bestellst dauert das anliefern ja n bisschen, ich bin dieses wochenende, sonnabend bis dienstag, nicht daheim. falls wir also noch nicht formatiert haben, kannst du den pc noch weiter nutzen, darfst aber nichts wichtiges mit dem gerät mehr machen. |
okay. werde mir das betriebssystem wahrscheinlich heute noch holen.und könnten somit morgen installieren und formatieren wenn du zeit hast.:dankeschoen: |
ja, hab heute und morgen zeit :-) |
also, du möchtest los legen :-) 1. lege die windows cd ein, starte den pc neu, normalerweise sollte er von der cd starten, falls er dies nicht tut, drücke beim start ein paar mal die f12 taste, diese sollte dich in das boot menü bringen, dort wählst du dein cd bzw dvd laufwerk aus. und dann enter, jetzt sollte er von der cd starten. (daten gesichert hast du ja nehme ich an) jetzt wählst du, benutzer definiert. wenn du bei der auswahl der partition angelangt bist, wähle bitte die erweiterten optionen und auf formatieren. falls du dies nicht getan hast, kommt eine meldung, daten werden nach windows.old verschoben, falls dies der fall ist, musst du auf nein klicken und noch mal auf zurück. folge jetzt weiter den anweisungen des instalations programmes. das internet sollte funktionieren. klicke auf start suchen tippe: windows update enter klicke auf updates suchen. instaliere jetzt so lange wichtige und optionale updates, bis es nichts mehr zu hohlen gibt, es wird neustarts geben, dann musst du windows update erneut aufrufen und auf updates suchen klicken. wenn du dies erledigt hast, melde dich bitte. |
hi, hab das nun alles erledigt. kann also weiter gehen:) |
ok. du hast also so lange nach updates gesucht bis es nichts mehr gab. http://www.trojaner-board.de/96344-a...-rechners.html anmerkungen: arbeite erst alles ab, was unter windows 7/vista zu finden ist. aus dem bereich xp folgendes abarbeiten: Datenausführungsverhinderung: Maßnahmen für ALLE Windows-Versionen danach dieses abarbeiten. als kostenlosen scanner würde ich eher zu avast raten. in meinem tests waren sie zwar nicht so erfolgreich wie einige bezahlprogramme aber besser als kostenlose. wenns ein kostenpflichtiger scanner sein kann, würde ich diesen nehmen: Emsisoft Anti-Malware für besten Schutz - Gratis Malware Entfernung von Viren, Bots, Spyware, Keylogger, Trojaner und Rootkits der blockiert alle von mir getesteten malware samples. dies bedeutet natürlich nicht 100 %iger schutz, denn so was gibts nicht. du hast da ne 30 tage test version zur verfügung, würd ich mir auf jeden fall mal ansehen. als browser würde ich persönlich opera einsetzen. er hat erst mal mehr ausstattung als der ff, ist weniger fehler anfällig, heißt weniger lücken in den letzten jahren. und er ist, meines erachtens nach, schneller. nächste anmerkung: sandboxie. das programm sandboxie ist ein programm, in dem du deinen browser isuliert vom system laufen lassen kannst. da heut zu tage häufig legitime seiten ziehl von angriffen werden, um zb so viele user mit schadcode zu infizieren damit sie teil eines botnetzes werden, muss man, auch als privat person, seinen pc best möglich schützen. dies haben wir natürlich bereits getan, in dem wir bekannte lücken schließen und weitere maßnamen getroffen haben. trotz alle dem, kann immer mal was "durch rutschen". wenn du jetzt deinen browser in der sandbox gestartet hast, rutscht diese malware nur dort rein, und durch unsere gewählten einstellungen, sollte sie im bestfall überhaupt nicht startenda sie zb durch das av geblockt wird, oder, falls doch, richtet sie in der sandbox keinen schaden an. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. ist die lizenz dein ganzes leben lang gültig, und du kannst die auf allen pcs nutzen, die sich in deinem haushalt befinden. 2. gibts, wenn du diese lizenz hast, noch einige nützliche funktionen, wie zb, erzwungener programm start. dies bedeutet, wenn du zb bei erzwungener programm start deine browser, mail programme etc einträgst kannst du diese direkt über das entsprechende symbol in der sandbox starten lassen. oder, wenn du einen link in einer mail bekommst und diesen anklickst, startet der browser ebenfalls in der sandbox. wenn du die kostenlose version nutzt, startest du deinen browser absofort immer über das symbol "sandboxed web browser" und alle programme die du noch in der sandbox laufen lassen willst mit rechtsklick und dann auf in sandboxie starten klicken. diese kann man also auch nutzen, um neue programme zu testen. anmerkung 3: alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du jetzt alles umgesetzt hast. bitte nur noch im eingeschrenkten konto arbeiten, da das admin konto nur für instalationen gedacht ist. und, wie gesagt, nur noch in sandboxie surfen, mit klick auf "sandboxed web browser" ich weis, viel arbeit, bei fragen, stelle sie! |
hi, also soweit habe ich alle änderungen vorgenommen. jedoch weis ich nicht,wie du das mit "alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren" meinst?!wie mache ich das? lg |
gehe mal nach c:\benutzer. da müsste jetzt ein ordner sein, der deinen vergebenen nutzer namen trägt. dort klickst du mal drauf. dann siehst du verschiedene ordner. wähle desktop dort alles markieren, kopieren. dann gehe wieder zurück auf benutzer, und wähle c:\benutzer\Default\desktop dort rechtsklick, einfügen. evtl das ganze wiederhohlen mit dem startmenü ordner. damit siehst du alle verknüpfungen im eingeschrenktem nutzerkonto |
okay,das hat alles funktioniert. vielen dank für deine hilfe und ich hab auf jeden fall was dazu gelernt:daumenhoc |
kein problem, endere noch, falls nicht erledigt, passwörter, und zwar alle :-) |
werde ich machen :) |
ja, wäre günstig. und evtl. auch gleich ein backup des systems erstellen. |
hi, also ein kleines problem hab ich dann doch noch und zwar ist der sandboxed browser super langsam. hast du eine idee, woran das liegen könnte? |
welchen browser nutzt du? ist der browser allgemein langsam oder nur bestimmte aktionen? wenn du den browser außerhalb der sandbox startest, läuft dann alles normal? |
nutze opera. außerhalb der sandbox läuft er normal allerdings immernoch langsamer als firefox.. innerhalb der sandbox läuft er generell sehr langsam. |
ist bei dir opera turbo aktiv? Opera-Hilfe: Opera Turbo falls ja, stelle es mal aus, falls nein, stelle es mal auf automatisch. beide einstellungen können je nach system probleme machen, deswegen testen wir das mal. |
turbo war eingeschaltet.habe es nun auf automatisch gestellt. allerdings dauert es immernoch ewigkeiten, bis die seiten geladen werden (auch wenn es ausgeschaltet ist). |
wenn du das internet mit dem internet explorer startest, dauerts dann auch so lange? möchte nur sicher gehen obs wirklich am browser liegt oder evtl. an etwas anderem. |
also internet explorer ist definitiv langsamer als firefox aber trotzdem schneller als opera.opera in der sandbox läd ständig. das ladesymbol geht praktisch gar nicht mehr weg. |
also du hast ja alle 3 browser drauf oder verstehe ich das falsch? hatt denn der firefox die gewohnte geschwindigkeit von früher? |
ja genau.firefox ist wie immer. |
na dann deinstaliere den opera und wir richten sandboxie für den firefox ein. manchmal ist das so das browsern auf systemen langsamer laufen als auf anderen. adons für den firefox: als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// wenn du mit diesem adon nicht klar kommst, deinstaliere es wieder, ich weis das manche nutzer das nicht mögen. solange du in der sandbox surfst, und zwar immer, sollte die gefahr gering sein das du dich infizierst. mit diesem adon aber noch geringer :-) adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. noch ne anmerkung zur sandboxie lizenz, hab grad gesehen, dass es bis zum 20.10.2011 sandboxie lebenslange lizenz 50 % billiger gibt, heißt also 15 €. falls du also die extra funktionen nutzen willst die ich persönlich für sehr nützlich halte, würde ich bis dahin zuschlagen, sparst ja immerhin 15 € :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board