Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BKA/GVU-Virus vollständig entfernen (https://www.trojaner-board.de/131227-bka-gvu-virus-vollstaendig-entfernen.html)

Jamal 19.02.2013 21:44
Code:
ComboFix 13-02-15.01 - pc 19.02.2013  21:35:25.2.8 - x64
Microsoft Windows 7 Home Premium  6.1.7600.0.1252.49.1031.18.9207.7357 [GMT 1:00]
ausgeführt von:: c:\users\pc\Desktop\antivirusproggis\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\pc\AppData\Roaming\Abyhp
c:\users\pc\AppData\Roaming\Abyhp\rikui.asu
c:\users\pc\AppData\Roaming\Afhu
c:\users\pc\AppData\Roaming\Afhu\koqeg.exe
c:\users\pc\AppData\Roaming\Kaek
c:\users\pc\AppData\Roaming\Kaek\riexy.och
c:\users\pc\AppData\Roaming\kb3.exe
c:\users\pc\AppData\Roaming\Tuyf
c:\users\pc\AppData\Roaming\Tuyf\idfa.exe
c:\windows\msxml4-KB954430-enu.LOG
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-01-19 bis 2013-02-19  ))))))))))))))))))))))))))))))
.
.
2013-02-19 20:38 . 2013-02-19 20:38        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-02-18 16:42 . 2013-02-19 19:34        --------        d-----w-        c:\users\pc\AppData\Roaming\Ufyq
2013-02-18 16:42 . 2013-02-18 16:42        --------        d-----w-        c:\users\pc\AppData\Roaming\Siyhas
2013-02-17 20:07 . 2013-02-17 20:07        --------        d-----w-        c:\windows\SysWow64\wbem\en-US
2013-02-17 20:07 . 2013-02-17 20:07        --------        d-----w-        c:\windows\system32\wbem\en-US
2013-02-17 19:04 . 2010-09-14 06:45        367104        ----a-w-        c:\windows\system32\wcncsvc.dll
2013-02-17 19:04 . 2010-09-14 06:07        276992        ----a-w-        c:\windows\SysWow64\wcncsvc.dll
2013-02-17 18:46 . 2009-09-10 06:28        311808        ----a-w-        c:\windows\system32\msv1_0.dll
2013-02-17 18:46 . 2009-09-10 05:52        257024        ----a-w-        c:\windows\SysWow64\msv1_0.dll
2013-02-17 18:43 . 2013-02-04 21:49        70004024        ----a-w-        c:\windows\system32\MRT.exe
2013-02-17 18:39 . 2012-07-26 07:46        2560        ----a-w-        c:\windows\system32\drivers\de-DE\wdf01000.sys.mui
2013-02-17 18:39 . 2012-07-26 04:55        785512        ----a-w-        c:\windows\system32\drivers\Wdf01000.sys
2013-02-17 18:39 . 2012-07-26 04:55        54376        ----a-w-        c:\windows\system32\drivers\WdfLdr.sys
2013-02-17 18:39 . 2012-07-26 02:36        9728        ----a-w-        c:\windows\system32\Wdfres.dll
2013-02-17 18:24 . 2009-11-25 11:47        99176        ----a-w-        c:\windows\SysWow64\PresentationHostProxy.dll
2013-02-17 18:24 . 2009-11-25 11:47        49472        ----a-w-        c:\windows\SysWow64\netfxperf.dll
2013-02-17 18:24 . 2009-11-25 11:47        48960        ----a-w-        c:\windows\system32\netfxperf.dll
2013-02-17 18:24 . 2009-11-25 11:47        297808        ----a-w-        c:\windows\SysWow64\mscoree.dll
2013-02-17 18:24 . 2009-11-25 11:47        295264        ----a-w-        c:\windows\SysWow64\PresentationHost.exe
2013-02-17 18:24 . 2009-11-25 11:47        1130824        ----a-w-        c:\windows\SysWow64\dfshim.dll
2013-02-17 18:24 . 2009-11-25 11:47        109912        ----a-w-        c:\windows\system32\PresentationHostProxy.dll
2013-02-17 18:24 . 2009-11-25 11:47        444752        ----a-w-        c:\windows\system32\mscoree.dll
2013-02-17 18:24 . 2009-11-25 11:47        320352        ----a-w-        c:\windows\system32\PresentationHost.exe
2013-02-17 18:24 . 2009-11-25 11:47        1942856        ----a-w-        c:\windows\system32\dfshim.dll
2013-02-17 18:22 . 2010-02-23 08:16        294912        ----a-w-        c:\windows\system32\browserchoice.exe
2013-02-17 18:14 . 2013-02-17 18:14        --------        d-----w-        c:\users\UpdatusUser
2013-02-17 18:14 . 2013-02-17 18:14        --------        d-----w-        c:\program files (x86)\NVIDIA Corporation
2013-02-17 18:13 . 2012-10-02 19:50        2557800        ----a-w-        c:\windows\system32\nvsvcr.dll
2013-02-17 18:07 . 2012-12-16 16:52        46080        ----a-w-        c:\windows\system32\atmlib.dll
2013-02-17 18:07 . 2012-12-16 14:40        367616        ----a-w-        c:\windows\system32\atmfd.dll
2013-02-17 18:07 . 2012-12-16 14:25        295424        ----a-w-        c:\windows\SysWow64\atmfd.dll
2013-02-17 18:07 . 2012-12-16 14:25        34304        ----a-w-        c:\windows\SysWow64\atmlib.dll
2013-02-17 18:07 . 2009-10-19 14:46        100864        ----a-w-        c:\windows\system32\fontsub.dll
2013-02-17 18:07 . 2009-10-19 14:10        70656        ----a-w-        c:\windows\SysWow64\fontsub.dll
2013-02-17 18:06 . 2012-07-26 03:08        229888        ----a-w-        c:\windows\system32\WUDFHost.exe
2013-02-17 18:06 . 2012-07-26 03:08        84992        ----a-w-        c:\windows\system32\WUDFSvc.dll
2013-02-17 18:06 . 2012-07-26 03:08        744448        ----a-w-        c:\windows\system32\WUDFx.dll
2013-02-17 18:06 . 2012-07-26 03:08        45056        ----a-w-        c:\windows\system32\WUDFCoinstaller.dll
2013-02-17 18:06 . 2012-07-26 03:08        194048        ----a-w-        c:\windows\system32\WUDFPlatform.dll
2013-02-17 18:06 . 2012-07-26 02:26        87040        ----a-w-        c:\windows\system32\drivers\WUDFPf.sys
2013-02-17 18:06 . 2012-07-26 02:26        198656        ----a-w-        c:\windows\system32\drivers\WUDFRd.sys
2013-02-17 18:02 . 2012-03-01 06:54        22896        ----a-w-        c:\windows\system32\drivers\fs_rec.sys
2013-02-17 18:02 . 2012-03-01 06:40        80896        ----a-w-        c:\windows\system32\imagehlp.dll
2013-02-17 18:02 . 2012-03-01 06:35        5120        ----a-w-        c:\windows\system32\wmi.dll
2013-02-17 18:02 . 2012-03-01 05:45        158720        ----a-w-        c:\windows\SysWow64\imagehlp.dll
2013-02-17 18:02 . 2012-03-01 05:40        5120        ----a-w-        c:\windows\SysWow64\wmi.dll
2013-02-17 18:00 . 2010-03-04 04:32        243712        ----a-w-        c:\windows\system32\drivers\ks.sys
2013-02-17 17:58 . 2010-11-02 05:12        1133568        ----a-w-        c:\windows\system32\FntCache.dll
2013-02-17 17:58 . 2011-01-26 06:53        982912        ----a-w-        c:\windows\system32\drivers\dxgkrnl.sys
2013-02-17 17:58 . 2011-01-26 06:53        265088        ----a-w-        c:\windows\system32\drivers\dxgmms1.sys
2013-02-17 17:58 . 2011-01-26 06:31        144384        ----a-w-        c:\windows\system32\cdd.dll
2013-02-17 17:58 . 2010-11-02 05:18        229888        ----a-w-        c:\windows\system32\XpsRasterService.dll
2013-02-17 17:58 . 2010-06-26 05:31        1863680        ----a-w-        c:\windows\system32\ExplorerFrame.dll
2013-02-17 17:58 . 2010-06-26 05:14        1495040        ----a-w-        c:\windows\SysWow64\ExplorerFrame.dll
2013-02-17 17:58 . 2010-11-02 04:41        135168        ----a-w-        c:\windows\SysWow64\XpsRasterService.dll
2013-02-17 17:56 . 2011-03-12 11:31        442880        ----a-w-        c:\windows\SysWow64\XpsPrint.dll
2013-02-17 17:55 . 2012-03-03 06:29        1837568        ----a-w-        c:\windows\system32\d3d10warp.dll
2013-02-17 17:54 . 2012-11-02 05:27        478208        ----a-w-        c:\windows\system32\dpnet.dll
2013-02-17 17:51 . 2011-04-27 02:57        102400        ----a-w-        c:\windows\system32\drivers\dfsc.sys
2013-02-17 17:51 . 2009-09-03 07:36        1975296        ----a-w-        c:\windows\system32\CertEnroll.dll
2013-02-17 17:51 . 2009-09-03 07:04        1320960        ----a-w-        c:\windows\SysWow64\CertEnroll.dll
2013-02-17 17:50 . 2012-08-31 18:02        1656688        ----a-w-        c:\windows\system32\drivers\ntfs.sys
2013-02-17 17:50 . 2013-01-05 05:57        5500776        ----a-w-        c:\windows\system32\ntoskrnl.exe
2013-02-17 17:50 . 2013-01-05 05:02        3957608        ----a-w-        c:\windows\SysWow64\ntkrnlpa.exe
2013-02-17 17:50 . 2013-01-05 05:02        3902312        ----a-w-        c:\windows\SysWow64\ntoskrnl.exe
2013-02-17 17:49 . 2010-08-31 04:32        954752        ----a-w-        c:\windows\SysWow64\mfc40.dll
2013-02-17 17:49 . 2010-08-31 04:32        954288        ----a-w-        c:\windows\SysWow64\mfc40u.dll
2013-02-17 17:49 . 2012-06-02 05:25        182272        ----a-w-        c:\windows\system32\cryptsvc.dll
2013-02-17 17:49 . 2012-06-02 05:25        1462784        ----a-w-        c:\windows\system32\crypt32.dll
2013-02-17 17:49 . 2012-06-02 05:25        140288        ----a-w-        c:\windows\system32\cryptnet.dll
2013-02-17 17:49 . 2012-06-02 04:45        139264        ----a-w-        c:\windows\SysWow64\cryptsvc.dll
2013-02-17 17:49 . 2012-06-02 04:45        1157632        ----a-w-        c:\windows\SysWow64\crypt32.dll
2013-02-17 17:49 . 2012-06-02 04:45        103936        ----a-w-        c:\windows\SysWow64\cryptnet.dll
2013-02-17 17:45 . 2010-09-01 05:21        14627840        ----a-w-        c:\windows\system32\wmp.dll
2013-02-17 17:45 . 2010-09-01 05:14        167424        ----a-w-        c:\program files\Windows Media Player\wmplayer.exe
2013-02-17 17:45 . 2010-09-01 04:26        164864        ----a-w-        c:\program files (x86)\Windows Media Player\wmplayer.exe
2013-02-17 17:45 . 2010-09-01 05:12        12625920        ----a-w-        c:\windows\system32\wmploc.DLL
2013-02-17 17:45 . 2010-09-01 04:23        12625408        ----a-w-        c:\windows\SysWow64\wmploc.DLL
2013-02-17 17:45 . 2010-06-29 05:35        4582912        ----a-w-        c:\program files\Windows NT\Accessories\wordpad.exe
2013-02-17 17:45 . 2010-06-29 05:39        2085376        ----a-w-        c:\windows\system32\ole32.dll
2013-02-17 17:45 . 2010-06-29 05:02        1413632        ----a-w-        c:\windows\SysWow64\ole32.dll
2013-02-17 17:45 . 2010-06-29 04:57        4247040        ----a-w-        c:\program files (x86)\Windows NT\Accessories\wordpad.exe
2013-02-17 17:42 . 2010-08-26 05:27        148992        ----a-w-        c:\windows\system32\t2embed.dll
2013-02-17 17:42 . 2010-08-26 04:39        109056        ----a-w-        c:\windows\SysWow64\t2embed.dll
2013-02-17 17:42 . 2011-11-19 15:07        77312        ----a-w-        c:\windows\system32\packager.dll
2013-02-17 17:42 . 2011-11-19 14:06        67072        ----a-w-        c:\windows\SysWow64\packager.dll
2013-02-17 17:40 . 2009-10-28 06:24        389632        ----a-w-        c:\windows\system32\winlogon.exe
2013-02-17 17:39 . 2013-02-17 17:39        --------        d-----w-        c:\users\pc\AppData\Roaming\Avira
2013-02-17 17:37 . 2012-06-02 22:19        2428952        ----a-w-        c:\windows\system32\wuaueng.dll
2013-02-17 17:37 . 2012-06-02 22:19        57880        ----a-w-        c:\windows\system32\wuauclt.exe
2013-02-17 17:37 . 2012-06-02 22:19        44056        ----a-w-        c:\windows\system32\wups2.dll
2013-02-17 17:37 . 2012-06-02 22:15        2622464        ----a-w-        c:\windows\system32\wucltux.dll
2013-02-17 17:37 . 2012-06-02 22:19        38424        ----a-w-        c:\windows\system32\wups.dll
2013-02-17 17:37 . 2012-06-02 22:19        701976        ----a-w-        c:\windows\system32\wuapi.dll
2013-02-17 17:37 . 2012-06-02 22:15        99840        ----a-w-        c:\windows\system32\wudriver.dll
2013-02-17 17:37 . 2012-06-02 14:19        186752        ----a-w-        c:\windows\system32\wuwebv.dll
2013-02-17 17:37 . 2012-06-02 14:15        36864        ----a-w-        c:\windows\system32\wuapp.exe
2013-02-17 17:33 . 2013-02-17 17:29        27800        ----a-w-        c:\windows\system32\drivers\avkmgr.sys
2013-02-17 17:33 . 2013-02-17 17:29        129216        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2013-02-17 17:33 . 2013-02-17 17:29        99912        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2013-02-17 17:33 . 2013-02-17 17:33        --------        d-----w-        c:\programdata\Avira
2013-02-17 17:33 . 2013-02-17 17:33        --------        d-----w-        c:\program files (x86)\Avira
2013-02-17 16:40 . 2013-02-17 16:40        --------        d-----w-        c:\users\pc\AppData\Roaming\Malwarebytes
2013-02-17 16:40 . 2013-02-17 16:40        --------        d-----w-        c:\programdata\Malwarebytes
2013-02-17 16:40 . 2013-02-17 16:40        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware
2013-02-17 16:40 . 2012-12-14 15:49        24176        ----a-w-        c:\windows\system32\drivers\mbam.sys
2013-02-17 16:39 . 2013-02-17 16:39        --------        d-----w-        c:\users\pc\AppData\Local\Programs
2013-02-14 15:36 . 2013-02-17 15:25        --------        d-----w-        c:\users\pc\AppData\Roaming\Zuew
2013-02-01 11:36 . 2013-02-01 11:36        --------        d-----w-        c:\users\Public\CyberLink
2013-02-01 11:36 . 2013-02-01 11:36        --------        d-----w-        c:\users\pc\AppData\Local\Cyberlink
2013-02-01 11:35 . 2013-02-01 11:37        --------        d-----w-        c:\programdata\CyberLink
2013-02-01 11:35 . 2013-02-01 11:35        --------        d-----w-        c:\program files (x86)\Common Files\Nikon
2013-02-01 11:34 . 2013-02-01 11:34        --------        d-----w-        c:\program files (x86)\CyberLink
2013-02-01 11:33 . 2013-02-01 11:33        --------        d-----w-        c:\programdata\install_clap
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-04 04:43 . 2013-02-17 17:55        44032        ----a-w-        c:\windows\apppatch\acwow64.dll
2012-11-25 21:04 . 2012-06-13 21:43        697272        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe
2012-11-25 21:04 . 2011-12-06 15:54        73656        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2013-02-17 385248]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Wi-Fi MediaConnect.lnk - c:\program files (x86)\Philips\Wi-Fi MediaConnect\Wi-Fi MediaConnect.exe [2012-8-21 2345984]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R3 athur;Wireless Network Adapter Service;c:\windows\system32\DRIVERS\athurx.sys [2010-09-16 1918976]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-06-26 834544]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2013-02-17 27800]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2013-02-17 86752]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2012-10-02 382824]
S3 e1yexpress;Intel(R) Gigabit-Netzwerkverbindungstreiber;c:\windows\system32\DRIVERS\e1y60x64.sys [2009-06-10 281088]
S3 WFMC_VAD;WFMCVAD (WDM);c:\windows\system32\DRIVERS\wfmcvad.sys [2010-02-08 24064]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 27589434
*Deregistered* - 27589434
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-02-04 17:10        1607120        ----a-w-        c:\program files (x86)\Google\Chrome\Application\24.0.1312.57\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-25 21:05]
.
2013-02-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-11-25 21:05]
.
.
--------- X64 Entries -----------
.
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
.
.
------- Dateityp-Verknüpfung -------
.
JSEFile=%SystemRoot%\SysWow64\CScript.exe "%1" %*
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Wow6432Node-HKCU-Run-Ysydyvagig - c:\users\pc\AppData\Roaming\Tuyf\idfa.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10e.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-02-19  21:39:43
ComboFix-quarantined-files.txt  2013-02-19 20:39
ComboFix2.txt  2013-02-17 17:03
.
Vor Suchlauf: 11 Verzeichnis(se), 737.753.116.672 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 739.784.986.624 Bytes frei
.
- - End Of File - - C15FBE647D51778008F5FEC3A504EC16

markusg 19.02.2013 21:47
hi
öffne bitte computer, c: qoobox
rechtsklick Quarantain, mit winrar oder einem anderen archivierungsprogramm packen, archiv hochladen
Trojaner-Board Upload Channel

Jamal 19.02.2013 21:53
Erledigt.
Code:
Datei: Quarantine.zip empfangen

Vorgang erfolgreich abgeschlossen.

markusg 20.02.2013 18:51
danke
nutzt du dieses Gerät für onlinebanking, zum einkaufen, für sonstige zahlungsabwicklungen

Jamal 20.02.2013 19:13
Ja, wobei ich seit vermutlichem Zeitpunkt der Infektion den PC nurnoch wenige Stunden am Netzwerk hatte und in der Zeit auch kein Onlinebanking benutzt habe.

markusg 20.02.2013 19:38
Hi
bitte Bank anrufen, Onlinebanking wegen trojan.zbot sperren lassen.
Notfallnummer:
116 116
Der Zeus-Trojaner
Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und der sicherste Weg, zumal du deinen PC
für onlinebanking, verwendest
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.
Wenn es mein PC währe, würde ich ihn neu aufsetzen, aber die Entscheidung liegt bei dir.

Jamal 20.02.2013 20:17
Hi,
würde lieber den Weg der Bereinigung ohne den Schritt des Neuaufsetzens wählen.


Da ich den PC sowohl für Online-Banking als auch zur Verwaltung von Tagesgeldkonten und Depots nutze würde mich interessieren auf welchem Wege der Trojaner an die relevanten Informationen (insbesondere Kontodaten und TANs etc.) kommt, ohne dass ich mich seit Infektionszeitpunkt eingeloggt habe.

markusg 20.02.2013 21:25
hi
du weist ja nur, wann du dich mit dem bka trojaner infiziert hast, nicht wann die banking malware auf das System kam.
Ich muss dich noch mal darauf hinweisen, dass wenn wir bei der bereinigung etwas übersehen, jemand deine Konten leer räumen kann, wenn du wieder von dem PC onlinebanking machst.
Ich sage das nur, damit du dir des Risikos bewusst bist.
und dann eine Entscheidung fellen kannst

Jamal 20.02.2013 21:45
Ich bin mir des Risikos bewusst und würde gerne dennoch erstmal ohne ein Neuaufsetzen auskommen.

(Die Banking-Malware scheint sich ja nach Infektion mit dem BKA-Trojaner nachgeladen zu haben. Die entsprechenden Dateien im Appdata/Roaming-Ordner wurden auch laut Windows erst am 18. erstellt. Mit Opera, urlfilter und Firewall/Antivirenprogramm bin ich eigentlich gut gefahren und jahrelang virusfrei geblieben, daher wundere ich mich auch umsomehr über die aktuelle Infektion via wetter.com. Naja.)

Also, wie gesagt: Ich bitte um weitere Hilfestellung bezüglich der Bereinigung ohne "format c" :)

markusg 20.02.2013 21:48
hi
nur weil das datum der 18.02 ist, heißt es nicht, dass der tatsächliche infektionszeitpunkt dort war.
ok, ist dein geld.
lasse aber das onlinebanking sperren
lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Jamal 20.02.2013 23:16
Code:
Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        26.04.2008                10.0.45.2              UNBEKANNT         
Adobe Flash Player 11 Plugin        Adobe Systems Incorporated        25.11.2012        6,00 MB        11.5.502.110        NOTWENDIG
Adobe Reader 9.3.2 - Deutsch        Adobe Systems Incorporated        18.06.2010        240 MB        9.3.2                NOTWENDIG
ArcSoft TotalMedia 3        ArcSoft        18.12.2010                                UNNÖTIG
Avira Free Antivirus        Avira        17.02.2013        136 MB        13.0.0.3185                NOTWENDIG
CCleaner        Piriform        23.01.2013                3.27
Counter-Strike 1.6                01.12.2010                                        UNNÖTIG
CyberLink PhotoDirector 3        CyberLink Corp.        01.02.2013        219 MB        3.0.3618                        NOTWENIG
FileBot        rednoah        19.12.2010        12,5 MB        1.9.6                        UNNÖTIG
FileZilla Client 3.2.7.1                19.12.2010                3.2.7.1                UNNÖTIG
Google Chrome        Google Inc.        25.11.2012                24.0.1312.57                UNNÖTIG
Google Earth        Google        28.04.2011        84,6 MB        6.0.2.2074                NOTWENIG
ICQ 7.2 Build #3525 Banner Remover 1.0        murb.com        20.01.2011        2,40 MB                        UNNÖTIG
ICQ7.2        ICQ        18.06.2010                7.2                        UNNÖTIG
Java(TM) 6 Update 25        Oracle        23.05.2011        94,7 MB        6.0.250                UNBEKANNT
Malwarebytes Anti-Malware Version 1.70.0.1100        Malwarebytes Corporation        17.02.2013        18,4 MB        1.70.0.1100               
Microsoft Silverlight        Microsoft Corporation        29.10.2010        20,4 MB        4.0.50401.0                        UNBEKANNT
Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        01.02.2013        348 KB        8.0.59193                        UNBEKANNT
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        26.04.2008        596 KB        9.0.30729.4148                UNBEKANNT
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219        Microsoft Corporation        17.02.2013        11,1 MB        10.0.40219                UNBEKANNT
NVIDIA 3D Vision Treiber 306.97        NVIDIA Corporation        17.02.2013                306.97                UNBEKANNT
NVIDIA Display Control Panel        NVIDIA Corporation        18.11.2010                6.14.12.5896        NOTWENIG
NVIDIA Grafiktreiber 306.97        NVIDIA Corporation        17.02.2013                306.97        NOTWENIG       
NVIDIA Update 1.10.8        NVIDIA Corporation        17.02.2013                1.10.8                UNNÖTIG
Opera 12.14        Opera Software ASA        11.02.2013                12.14.1738                NOTWENDIG
PDFCreator        Frank Heindörfer, Philip Chinery        27.04.2011                1.2.0        NOTWENIG
PDFTK Builder 3.5.3                11.05.2011                NOTWENIG
Shutter        [den4b] Denis Kozlov        26.11.2010                2.90                        NOTWENIG
Skype™ 4.2        Skype Technologies S.A.        18.06.2010        31,7 MB        4.2.169                        NOTWENIG
TP-LINK Drahtlos Tool        TP-LINK        19.08.2012                7.0                NOTWENIG
Uninstall 1.0.0.1                15.08.2010        10,5 MB        UNBEKANNT
Update                18.12.2010                UNBEKANNT
VLC media player 1.1.6        VideoLAN        25.01.2011                1.1.6                NOTWENIG
Wi-Fi MediaConnect        Philips        21.08.2012                1.6.43                NOTWENDIG
Windows Live Essentials        Microsoft Corporation        29.10.2010                15.4.3502.0922                UNNÖTIG
WinRAR                10.07.2010                NOTWENIG
XBMC        Team XBMC        24.02.2011                UNNÖTIG

markusg 20.02.2013 23:17
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
ArcSoft
Counter
FileBot
FileZilla
Google Chrome
ICQ7.2 beide
Java
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
deinstaliere:
Windows Live

Öffne ccleaner, analysieren starten, PC neustarten
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Jamal 21.02.2013 00:15
Code:
# AdwCleaner v2.112 - Datei am 21/02/2013 um 00:10:25 erstellt
# Aktualisiert am 10/02/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium  (64 bits)
# Benutzer : pc - PC-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\pc\Desktop\adwcleaner0.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Opera v12.14.1738.0

Datei : C:\Users\pc\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [2211 octets] - [17/02/2013 17:50:38]
AdwCleaner[S1].txt - [2273 octets] - [17/02/2013 17:51:01]
AdwCleaner[S2].txt - [787 octets] - [21/02/2013 00:10:25]

########## EOF - C:\AdwCleaner[S2].txt - [846 octets] ##########

markusg 21.02.2013 17:53
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
wenn du fertig bist,, prüfe unter rechtsklick computer, eigenschaften, ob das servicepack 1 (sp1) instaliert ist, melden, wenn fertig.

Jamal 21.02.2013 19:45
Erledigt!


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:21 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19