Trojaner-Board - C:\...\avgtray.exe\129784532353404568 (etc. Rest unleserlich) Schweregrad: Hoch Bedrohung: Win32:Regrun-HB[Trj]

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - C:\...\avgtray.exe\129784532353404568 (etc. Rest unleserlich) Schweregrad: Hoch Bedrohung: Win32:Regrun-HB[Trj] (https://www.trojaner-board.de/126291-c-avgtray-exe-129784532353404568-etc-rest-unleserlich-schweregrad-hoch-bedrohung-win32-regrun-hb-trj.html)

C:\...\avgtray.exe\129784532353404568 (etc. Rest unleserlich) Schweregrad: Hoch Bedrohung: Win32:Regrun-HB[Trj]

Liebes Team,

zunächst vielen, vielen lieben Dank für Euer Board und Eure Community, die Hilfesuchenden unter die Arme greift...! Das ist ein tolles Angebot und ich bin eine davon und brauche den Rat von Profis. :bussi:

Mein Problem:

1) Ich habe mir Incredibar eingefangen. Das habe ich realisiert, da sich im Firefox in neuen Tabs die Incredibar öffnete. Ich konnte sie nicht deinstallieren und bin langsam auf die Fährte der "Malware" und sehr schnell auf Euer Board gelangt.

2) Hier habe ich augenscheinlich erste Antworten gefunden (in einem Thread dazu) und sie befolgt. Damit habe ich Punkt 1 Eurer Satzung NICHT entsprochen und einfach losgelegt. Mea culpa, ich bin einsichtig und weiß es nun besser. :kloppen:

Das habe ich ausgeführt, nach Anweisungen in diesem Thread, denke ich http://www.trojaner-board.de/122628-...ngen-los.html: Malwarebytes Anti-Malware und Adwcleaner. Die Scans danach waren sauber.

3) Danach habe ich AVG, meine Schutzfreeware, und Firefox deinstalliert. Nun habe ich AVG neu installiert und den Rechner scannen lassen. Dabei wurde wieder eine Bedrohung gefunden, diese habe ich löschen lassen. Der Scan danach war wieder sauber.

4) Nun habe ich avast, ebenfalls eine Schutzfreeware installiert, und AVG deinstalliert. Ich habe das System wieder prüfen lassen, und erhielt nun die Meldung im Threadtitel:

C:\...\avgtray.exe\129784532353404568 (etc. Rest unleserlich) Schweregrad: Hoch Bedrohung: Win32:Regrun-HB[Trj]

Und zwar vier mal.

C:\...\avgtray.exe\129784532353404568... Schweregrad: Hoch Bedrohung: Win32:Regrun-HB[Trj]
C:\...\avgtray.exe\129784532353404568... Schweregrad: Hoch Bedrohung: Win32:Regrun-HB[Trj]
C:\...\avgtray.exe\129784532353404568... Schweregrad: Hoch Bedrohung: Win32:Regrun-HB[Trj]
C:\...\avgtray.exe\129784532353404568... Schweregrad: Hoch Bedrohung: Win32:Regrun-HB[Trj]

Ich habe die Bedrohung wieder "gelöscht".

5) Nun bin ich aber SEHR skeptisch geworden, da der Trojaner immer wieder auftaucht. Eure Warnungen habe ich mir dabei ebenfalls sehr zu Herzen genommen und möchte nun fragen: Ist mein Rechner jetzt sauber?

6) Last but not least *endlich!* habe ich mir Eure Ratschläge sehr genau vorgenommen (= alles in Ruhe durchgelesen... ) und die ersten empfohlenen Schritte unternommen. Ich sende anbei die files. Ich hoffe, bei der Änderung des Nutzernamens gingen keine Infos verloren.

Ich freue mich, wenn jemand aus Eurem Team Zeit für mich findet... :glaskugel:

Liebe Grüße von der Forelle!

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)

► Hilfeleistung - geplante Vorgehensweise:

Problemsuche
Problembeseitigung/Systembereinigung
Verwendete Programme deinstallieren/entfernen
Thema abschließen: Tipps zur Computersicherheit

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

Download den CCleaner herunter
Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

:-)

Code:

7-Zip 9.20                01.01.2012                

Acrobat.com        Adobe Systems Incorporated        17.03.2011        1,60MB        1.6.65

Adobe Acrobat X Pro - English, Français, Deutsch        Adobe Systems        08.04.2012        2,61GB        10.1.2

Adobe AIR        Adobe Systems Inc.        08.04.2012                1.5.3.9120

Adobe Community Help        Adobe Systems Incorporated        08.04.2012                3.0.0.400

Adobe Creative Suite 5 Master Collection        Adobe Systems Incorporated        08.04.2012        8,84GB        5.0

Adobe Flash Player 10 ActiveX        Adobe Systems, Inc.        08.04.2012        2,42MB        10.1.52.14

Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        10.02.2010        6,00MB        10.2.152.26

Adobe Flash Player 10 Plugin        Adobe Systems, Inc.        08.04.2012        2,38MB        10.1.52.14

Adobe Flash Player 11 Plugin 64-bit        Adobe Systems Incorporated        27.11.2011        6,00MB        11.1.102.55

Adobe Media Player        Adobe Systems Incorporated        08.04.2012                1.8

Adobe Reader X (10.1.3) - Deutsch        Adobe Systems Incorporated        09.07.2012        121MB        10.1.3

Adobe Reader X (10.1.4)        Adobe Systems Incorporated        02.10.2012        150MB        10.1.4

Adobe Shockwave Player 11.6        Adobe Systems, Inc.        04.12.2011                11.6.3.633

avast! Free Antivirus        AVAST Software        28.10.2012                7.0.1473.0

AVG PC Tuneup 2011        AVG        18.11.2011        41,8MB        10.0.0.26

calibre        Kovid Goyal        12.07.2012        128MB        0.8.53

CCleaner        Piriform        24.10.2012                3.24

CutePDF Writer 2.8                02.01.2012                

Dropbox        Dropbox, Inc.        20.09.2012                1.4.17

ElsterFormular        Landesfinanzdirektion Thüringen        30.03.2012        221MB        13.1.1.8531u

eMachines Games        WildTangent        18.03.2011                1.0.2.4

eMachines Recovery Management        Acer Incorporated        17.03.2011                5.00.3002

eMachines Registration        Acer Incorporated        10.02.2010                1.03.3003

eMachines ScreenSaver        Acer Incorporated        10.02.2010                1.1.0221.2011

eMachines Updater        Acer Incorporated        17.03.2011                1.02.3005

FileZilla Client 3.5.3        FileZilla Project        16.01.2012        16,5MB        3.5.3

GIMP 2.6.11        The GIMP Team        29.04.2012        107MB        2.6.11

Google Chrome        Google Inc.        21.10.2011                22.0.1229.94

Google Earth        Google        27.12.2011        92,7MB        6.1.0.5001

Hotkey Utility        Acer Incorporated        10.02.2010                2.05.3014

Identity Card        Acer Incorporated        10.02.2010                1.00.3006

Intel(R) Control Center        Intel Corporation        10.02.2010                1.2.1.1007

Intel(R) Management Engine Components        Intel Corporation        11.02.2010                7.0.0.1144

Intel(R) Processor Graphics        Intel Corporation        11.02.2010                8.15.10.2253

Intel(R) Rapid Storage Technology        Intel Corporation        11.02.2010                10.0.0.1046

Java 7 Update 9        Oracle        03.10.2012        128MB        7.0.90

Logitech Vid        Logitech Inc.        22.10.2011        39,8MB        1.10.1009

Logitech Webcam Software        Logitech Inc.        22.10.2011        44,4MB        12.10.1113

Logitech Webcam Software-Treiberpaket        Logitech Inc.        22.10.2011                12.10.1110

MacromediaDreamweaver MX        Macromedia        08.04.2012                6.0

Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        10.04.2012        38,8MB        4.0.30319

Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        10.04.2012        2,93MB        4.0.30319

Microsoft Office Professional Plus 2010        Microsoft Corporation        08.04.2012                14.0.6029.1000

Microsoft Silverlight        Microsoft Corporation        09.05.2012        60,3MB        4.1.10329.0

Microsoft SQL Server 2005 Compact Edition [ENU]        Microsoft Corporation        10.02.2010        1,69MB        3.1.0000

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        08.04.2012        300KB        8.0.61001

Microsoft Visual C++ 2005 Redistributable (x64)        Microsoft Corporation        17.03.2011        708KB        8.0.61000

Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148        Microsoft Corporation        17.03.2011        784KB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161        Microsoft Corporation        09.04.2012        788KB        9.0.30729.6161

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        17.03.2011        240KB        9.0.30729

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        17.03.2011        596KB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        09.04.2012        600KB        9.0.30729.6161

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219        Microsoft Corporation        05.10.2012        15,0MB        10.0.40219

Mozilla Maintenance Service        Mozilla        29.10.2012        329KB        16.0.2

Mozilla Thunderbird 16.0.2 (x86 de)        Mozilla        29.10.2012        39,5MB        16.0.2

MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        21.10.2011        1,27MB        4.20.9870.0

MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        21.10.2011        1,33MB        4.20.9876.0

msxml4        Default Company Name        04.02.2012        48,0KB        1.0.0

Nero DiscSpeed 10        Nero AG        17.03.2011        7,21MB        6.2.10500.2.100

Nero Express 10        Nero AG        17.03.2011        165MB        10.2.12000.21.100

Nero Multimedia Suite 10 Essentials        Nero AG        17.03.2011        372MB        10.5.10300

Nero StartSmart 10        Nero AG        17.03.2011        143MB        10.2.11600.14.100

Nero Update        Nero AG        17.03.2011        1,43MB        1.0.0018

Nikon Message Center 2        Nikon        06.12.2011        5,20MB        2.0.1

Nikon Movie Editor        Nikon        06.12.2011        26,9MB        2.2.1

Picture Control Utility        Nikon        06.12.2011        25,9MB        1.3.0

Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        17.03.2011                6.0.1.6242

Scribus 1.4.1        The Scribus Team        13.09.2012                1.4.1

Skype™ 5.10        Skype Technologies S.A.        12.09.2012        19,5MB        5.10.116

SuperMailer 5.66        Mirko Boeer Softwareentwicklungen        22.10.2011        33,4MB        5.66

TeamViewer 7        TeamViewer        08.04.2012                7.0.12979

ViewNX 2        Nikon        06.12.2011        51,6MB        2.2.3

VirtualCloneDrive        Elaborate Bytes        08.04.2012                

Visual Studio 2008 x64 Redistributables        AVG Technologies        14.11.2011        8,14MB        10.0.0.2

Visual Studio 2010 x64 Redistributables        AVG Technologies        04.10.2012        12,4MB        13.0.0.1

VTV digital 06        AGD Allianz deutscher Designer        11.07.2012                

Welcome Center        Acer Incorporated        10.02.2010                1.02.3102

Windows Live Essentials        Microsoft Corporation        10.02.2010                15.4.3508.1109

XAMPP 1.7.7                03.05.2012

Systemreinigung und Prüfung:

► Wenn Du nun alle Schritte erledigt hast, melde dich mit die gewünschten Ergebnisse zurück!
Nur bei Probleme inzwischen melden!

1.

Code:

AVG PC Tuneup 2011

Sogenannte Optimierungstool, Registry-Säuberungs-Programm gibt es viele! Die Hersteller versprechen weitaus mehr, als letztlich wirklich halten können. Ich rate Dir also dringend davon ab solche Tools einzusetzen. Ich kann mir nicht vorstellen, dass irgendein Programm zwischen nützlichen und unnützen unterscheiden kann und "völlig automatisch" entscheiden kann, was Windows wirklich benötigt und was nicht! Fraglich auch, ob alle zuvor angelegten Sicherungsdateien bei Problemen einfach wiederherstellen kann, wie es der Hersteller versprochen hat?
Windows garnix so dumm, wie oft behauptet wird! - Windows mit Eigenmittel zu beschleunigen, bietet an von Hause aus einen ordentlichen Werkzeugkoffer, mit guter Ausstattung für "Heimwerker":
...das Glück liegt darin, da weiß man wenigstens was man tut! http://www.world-of-smilies.com/wos_sonstige/a048.gif
► Wenn wir fertig sind, kannst "ausprobieren":

► System mit Windows-eigenen Mitteln bereinigen

2.

Zitat:

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Kopiere folgendes Skript also - nach dem "Code", alles was in der Codebox steht - (also beginnend mit :OTL und am Ende [emptytemp]), alles was in der Codebox steht (ohne "code"!) :

Code:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://emachines.msn.com

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://emachines.msn.com

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://emachines.msn.com

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://emachines.msn.com

IE - HKLM\..\SearchScopes,DefaultScope = 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://emachines.msn.com

IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O4 - HKLM..\Run: []  File not found

O4 - HKCU..\Run: [AdobeBridge]  File not found

@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:0B4227B4
 

:Files

C:\Users\***\AppData\Local\Avg2013

C:\Users\***\AppData\Roaming\AVG2013

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
OTL verlangt einen Neustart. Bitte zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Deinen Thread.

3.
Alle Programme/Fenster schließen
Java-Cache leeren - sollte man öfters tun!

Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK
-> Wie leere ich den Java-Cache?
-> Java-Cache leeren
-> Kurze Videoanleitung wie man unter Windows 7 und XP den JAVA Cache löschen kann.

4.
Tipps - Der Internet Explorer von Microsoft gehört zur Grundausstattung unter Windows, somit wie alle andere installierte Software muss gepflegt werden! Auch bei Nicht-Verwendung!:
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Ändern oder Auswählen eines Suchanbieters in Internet Explorer 7/8
-> Wie kann ich den Cache im Internet Explorer leeren?

5.
Alle Programme/Fenster schliessen
reinige dein System mit CCleaner:

"CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

6.
Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während der Online-Scans deaktivieren:
Anti-Virus-Programm und Firewall.
Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
Während der Online-Scans auf andere Online-Aktivitäten verzichten.
Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
http://image.hijackthis.eu/upload/activex1.jpg
.

Den PC NUR online scannen und NICHT ein zweites Antivirenprogramm installieren!!!

Eset Online Scanner (NOD32)
- Unterstützte Betriebssysteme: Microsoft Windows 7 - Vista - XP - 2000 - NT.
- Anmerkung für Vista und Windows 7-User: Bitte den Browser unbedingt als Administrator starten.
- Dein Anti-Virus-Programm während des Scans deaktivieren.
- Button "ESET Online Scanner" drücken.
- IE-User müssen das Installieren eines ActiveX Elements erlauben.
- Einen Haken bei "YES, I accept the Terms of Use." machen und auf den Button "Start" drücken.
- Einen Haken bei "Remove found threads" und "Scan archives" machen.
- Start drücken.
- Signaturen werden heruntergeladen.
- Der Scan beginnt automatisch.
- Wenn fertig, das Protokoll speichern und mir posten.
  -> List of found threats
  -> Export to text file
  -> Back
  -> Delete quarantäne files
- Finish drücken.
- Browser schließen.
- Deinstallation nachdem das Protokoll mir gepostet hast: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
- Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

7.
erneut einen Scan mit OTL:

Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Unter Extra-Registrierung wähle bitte Benutze SafeList.
Mache Häckchen bei LOP- und Purity-Prüfung.
Klicke nun auf Scan links oben.
Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

Hallo, liebe Kira,

danke für Deine Geduld. Nun bin ich die Schritte durchgegangen und poste zweimal otl.txt und einmal extras. Leider hat der Onlinescan mit Eset nicht geklappt. Ich habe mich an alle Vorbereitungsschritte gehalten, aber das Programm hat eine Proxy-Rückmeldung gegeben und den Scan gestoppt bzw. angehalten. Es läuft aber kein Proxy... Deshalb poste ich nun meine bisherigen Ergebnisse, vielleicht sind sie auch schon aufschlussreich.

:dankeschoen:

Es grüßt die Forelle :-)