![]() |
Trojaner Security Shield sicher vom System entfernt? Liebes Trojaner-Board-Team! Seit gestern habe ich einen Virus auf meinem Laptop, der das Programm Security Shield installiert hat und sämtliche Programme auf meinem Laptop geblockt hat. Nach einiger Recherche im Internet habe ich hier bereits 1. Hilfe gefunden. Vielen Dank schon mal dafür!!! Ich habe die folgenden Anweisungen befolgt: http://www.trojaner-board.de/89160-m...entfernen.html Der Trojaner scheint von meinem Laptop entfernt zu sein. Zumindest sieht alles aus wie vorher und ich kann wieder ins Internet und alle Programme öffnen. Aber um sicher zu sein, habe ich dieses Posting eröffnet und ich hoffe, dass mir jemand behilflich sein kann. Ich habe die Schritte 1-3 unter Punkt 2 (http://www.trojaner-board.de/69886-a...-beachten.html) hoffentlich richtig ausgeführt. Hier kommt dds.txt (attach.txt und Gmer.txt als Anhang): . DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 6.0.2900.2180 Run by Jenny at 12:50:13 on 2012-03-23 . ============== Running Processes =============== . C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Sony\VAIO Event Service\VESMgr.exe C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Apoint\Apoint.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\Sony\VAIO Power Management\SPMgr.exe C:\Programme\Apoint\Apntex.exe C:\Programme\Sony\ISB Utility\ISBMgr.exe C:\Programme\Utimaco\SafeGuard PrivateDisk\pdservice.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\VM303_STI.EXE C:\Programme\Sony\VAIO Update 4\VAIOUpdt.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\DATAMN~1.EXE C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\PDF24\pdf24.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe D:\FirefoxPortable\FirefoxPortable.exe D:\FirefoxPortable\App\firefox\firefox.exe D:\FirefoxPortable\App\firefox\plugin-container.exe c:\programme\avira\antivir desktop\avcenter.exe c:\programme\avira\antivir desktop\avscan.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Jenny\Desktop\Defogger.exe C:\Dokumente und Einstellungen\Jenny\Desktop\dds.com C:\WINDOWS\System32\svchost.exe -k netsvcs C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup C:\WINDOWS\system32\svchost.exe -k NetworkService C:\WINDOWS\system32\svchost.exe -k LocalService C:\WINDOWS\system32\svchost.exe -k bthsvcs C:\WINDOWS\system32\svchost.exe -k hpdevmgmt C:\WINDOWS\system32\svchost.exe -k HPService C:\WINDOWS\System32\svchost.exe -k HPZ12 C:\WINDOWS\System32\svchost.exe -k HPZ12 C:\WINDOWS\system32\svchost.exe -k imgsvc . ============== Pseudo HJT Report =============== . uStart Page = hxxp://www.google.de/ uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie mDefault_Page_URL = hxxp://www.club-vaio.com/de/ mDefault_Search_URL = hxxp://www.google.com/ie uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s mSearchAssistant = hxxp://www.google.com/ie uURLSearchHooks: Winamp Search Class: {57bca5fa-5dbb-45a2-b558-1755c3f6253b} - c:\programme\winamp toolbar\winamptb.dll uURLSearchHooks: H - No File uURLSearchHooks: softonic-de3 Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - c:\programme\softonic-de3\prxtbsof0.dll mURLSearchHooks: H - No File mURLSearchHooks: Winamp Search Class: {57bca5fa-5dbb-45a2-b558-1755c3f6253b} - c:\programme\winamp toolbar\winamptb.dll mURLSearchHooks: H - No File BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\programme\hewlett-packard\digital imaging\smart web printing\hpswp_printenhancer.dll BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programme\adobe\acrobat 7.0\activex\AcroIEHelper.dll BHO: Winamp Toolbar Loader: {25cee8ec-5730-41bc-8b58-22ddc8ab8c20} - c:\programme\winamp toolbar\winamptb.dll BHO: UrlHelper Class: {74322bf9-df26-493f-b0da-6d2fc5e6429e} - c:\progra~1\bearsh~1\mediabar\datamngr\IEBHO.dll BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programme\google\google toolbar\GoogleToolbar_32.dll BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\programme\google\googletoolbarnotifier\5.7.7227.1100\swg.dll BHO: MediaBar: {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - c:\progra~1\bearsh~1\mediabar\datamngr\toolbar\bsdtxmltbpi.dll BHO: softonic-de3 Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - c:\programme\softonic-de3\prxtbsof0.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\programme\hewlett-packard\digital imaging\smart web printing\hpswp_BHO.dll TB: Winamp Toolbar: {ebf2ba02-9094-4c5a-858b-bb198f3d8de2} - c:\programme\winamp toolbar\winamptb.dll TB: softonic-de3 Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - c:\programme\softonic-de3\prxtbsof0.dll TB: MediaBar: {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - c:\progra~1\bearsh~1\mediabar\datamngr\toolbar\bsdtxmltbpi.dll TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programme\google\google toolbar\GoogleToolbar_32.dll TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File TB: {855F3B16-6D32-4FE6-8A56-BBB695989046} - No File uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe uRun: [swg] "c:\programme\google\googletoolbarnotifier\GoogleToolbarNotifier.exe" mRun: [Apoint] c:\programme\apoint\Apoint.exe mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup mRun: [Mouse Suite 98 Daemon] ICO.EXE mRun: [Alcmtr] ALCMTR.EXE mRun: [IgfxTray] c:\windows\system32\igfxtray.exe mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe mRun: [SonyPowerCfg] c:\programme\sony\vaio power management\SPMgr.exe mRun: [ISBMgr.exe] c:\programme\sony\isb utility\ISBMgr.exe mRun: [PDService.exe] c:\programme\utimaco\safeguard privatedisk\pdservice.exe mRun: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe mRun: [BigDog303] c:\windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) mRun: [VAIO Update 4] "c:\programme\sony\vaio update 4\VAIOUpdt.exe" /Stationary mRun: [HPDJ Taskbar Utility] c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min mRun: [TkBellExe] "c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot mRun: [HP Software Update] c:\programme\hewlett-packard\hp software update\HPWuSchd2.exe mRun: [<NO NAME>] mRun: [DATAMNGR] c:\progra~1\bearsh~1\mediabar\datamngr\DATAMN~1.EXE mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe" mRun: [PDFPrint] c:\programme\pdf24\pdf24.exe dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE IE: &ICQ Toolbar Search - c:\programme\icqtoolbar\toolbaru.dll/SEARCH.HTML IE: &Winamp Search - c:\dokumente und einstellungen\all users\anwendungsdaten\winamp toolbar\ietoolbar\resources\en-us\local\search.html IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Download all links using BitComet - c:\programme\bitcomet\BitComet.exe/AddAllLink.htm IE: Download link using &BitComet - c:\programme\bitcomet\BitComet.exe/AddLink.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~3\office10\EXCEL.EXE/3000 IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\programme\hewlett-packard\digital imaging\smart web printing\hpswp_BHO.dll Trusted Zone: sony-europe.com Trusted Zone: sonystyle-europe.com Trusted Zone: vaio-link.com DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - hxxp://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab TCP: DhcpNameServer = 192.168.1.1 TCP: Interfaces\{D0064024-5957-440E-9C72-2E1F056F4A93} : DhcpNameServer = 192.168.1.1 Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\programme\gemeinsame dateien\microsoft shared\web folders\PKMCDO.DLL Notify: igfxcui - igfxsrvc.dll Notify: VESWinlogon - VESWinlogon.dll AppInit_DLLs: c:\progra~1\bearsh~1\mediabar\datamngr\datamngr.dll c:\progra~1\bearsh~1\mediabar\datamngr\IEBHO.dll SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll . ============= SERVICES / DRIVERS =============== . R? DMSKSSRh;DMSKSSRh R? DTV_Capture_2X0;Digital TV Receiver R? DTV_Loader_2X1;Digital TV Loader R? gupdate;Google Update Service (gupdate) R? gupdatem;Google Update-Dienst (gupdatem) R? massfilter_hs;HS HandSet Mass Storage Filter Driver R? zghsmdm;ZTE General Handset USB Modem Proprietary S? AntiVirSchedulerService;Avira AntiVir Planer S? AntiVirService;Avira AntiVir Guard S? avgio;avgio S? avgntflt;avgntflt S? PrivateDisk;PrivateDisk . =============== Created Last 30 ================ . 2012-03-23 10:43:14 -------- d-----w- c:\dokumente und einstellungen\jenny\anwendungsdaten\Malwarebytes 2012-03-23 10:43:07 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes 2012-03-23 10:43:06 20464 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-03-23 10:43:06 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2012-03-22 13:15:58 348160 ----a-w- c:\dokumente und einstellungen\jenny\lokale einstellungen\anwendungsdaten\zkhcpuw.exe . ==================== Find3M ==================== . 2012-03-01 07:49:03 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl . ============= FINISH: 12:51:38,40 =============== Ich hoffe, dass ich alles korrekt ausgeführt habe. Ich kenne mich leider nicht so gut aus..... Aber ich versuche mein System wieder sicher zu machen und würde mich über Hilfe sehr sehr freuen!!! Kann man aufgrund meiner Angaben schon sagen, ob mein Laptop von dem Virus befreit ist oder braucht es weitere Angaben? Vielen Dank im Voraus!!! VG Lou1904 |
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Hallo! Danke für die schnelle Antwort!!! Hier kommen die logs: Code: Malwarebytes Anti-Malware 1.60.1.1000 Code: ESETSmartInstaller@High as downloader log: Gruß Lou |
Zitat:
Siehe auch => http://www.trojaner-board.de/95393-c...-software.html Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden. Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials |
Das wusste ich nicht. Ich nutze den Laptop nicht alleine. Trotzdem danke für die Hilfe! Gruß, Lou |
Ja, dann pass besser auf was die Leute da für sch... installieren. Ist doch dein Gerät oder nicht? :confused: |
Hallo Arne! Ich habe Deinen Rat befolgt und den Laptop neuinstalliert bzw. auf den Ursprungszustand zurück gestellt (nach langer Wälzerei im Handbuch...). Die betreffende Person habe ich zur Rede gestellt und sie "darf" den Laptop nun nicht mehr benutzen. Du hast recht, man sollte da besser aufpassen. Aber da ich den Laptop eigentlich nur für Word und Internet benutze und mich sonst auch nicht sonderlich dafür interessiere, war ist es mir eben nicht aufgefallen. Nun ja, zurück zum Thema. Ich hoffe also, dass ich noch mal Hilfe bekomme. Ich habe wie gesagt neu installiert und direkt AntiVir installiert und mein System gescannt. Beim ersten scannen wurde "explorer. exe" gefunden und als Malware eingestuft. Ich habe ausversehen alles weg geklickt und den report nicht gespeichert. In der Quarantäne fand ich diese Datei leider auch nicht mehr. Der 2. Scan brachte dann dieses Ergebnis (siehe Log). Was kann ich nun machen? Bin langsam echt am verzweifeln? Versuche mal den Report zu posten: Code:
LG Lou |
Zitat:
Lösch es einfach, Schäden im System kann es nicht verursachen |
Hallo Arne! Danke für die super schnelle Antwort!!! Ich habe es aus der Quarantäne gelöscht. Das reicht doch oder? Und was meinst Du zu dem "explorer.exe", das AntiVir als erstes gefunden hat? Blöderweise habe ich den Report nicht mehr :( Ich mache grade einen Vollscan mit Malwarebytes. Wenn der sauber ist, meinst Du, dann ist alles wieder gut? Und noch eine Frage habe ich: meine Eigenen Dateien von der Festplatte D habe ich vor der Neuinstallation auf einer externen Festplatte gespeichert. Wenn ich die jetzt anschließe und einmal von AntiVir überprüfen lasse und das ohne Fund ist, kann ich meine Daten dann ohne Bedenken rüber ziehen? Sorry für die ganzen Fragen, ich hab halt keine Ahnung.... Danke!!! LG Lou Edit: Gerade hat AntiVir einen 2. Dialer gefunden, ist der auch harmlos? Beginne mit der Suche in 'C:\System Volume Information\_restore{3B6CDC77-F641-489A-8F0D-BCF8F80FE160}\RP20\A0002677.exe' C:\System Volume Information\_restore{3B6CDC77-F641-489A-8F0D-BCF8F80FE160}\RP20\A0002677.exe [FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/270336 (Dialer) [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb64416.qua' verschoben! |
Da es kein Log dazu gibt kann ich nichts dazu sagen und Spekulationen bringen nichts. Mach doch einfach mal neue Vollscans mit MBAM und ESET - halte dich an die Anleitung die ich oben schon gepostet habe |
Das sieht doch ok aus oder? Code: Malwarebytes Anti-Malware 1.60.1.1000 Code: ESETSmartInstaller@High as downloader log: |
Ja du hast auch neu aufgesetzt. Hak es ab, du bist durch |
OK, Danke für alles und schöne Ostertage!!! |
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board