Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Nationzoom eingefangen und entfernt, nach ESET noch infizierte Dateien vorhanden (https://www.trojaner-board.de/146175-nationzoom-eingefangen-entfernt-eset-noch-infizierte-dateien-vorhanden.html)

Bauigel72 15.12.2013 23:54
Nationzoom eingefangen und entfernt, nach ESET noch infizierte Dateien vorhanden
 
Hallo liebes Trojaner-Board-Team,

habe mir wie viele andere hier den Nationzoom-Virus eingefangen. Habe die Anleitungen von 'Schrauber' befolgt und folgende Logfiles erstellt, da der Beitrag zu groß war, habe ich alle FRST Logfiles als Anhang beigefügt!!!:

erster FRST Logfile
siehe Anhang

und der zug. Addition
ebenfalls im Anhang


Dann habe ich Malwarebytes durchgeführt mit folgendem Logfile

Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.12.15.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Michael Walter :: MICHAEL-2C01566 [Administrator]

15.12.2013 21:34:54
mbam-log-2013-12-15 (21-34-54).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 202234
Laufzeit: 4 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 3
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RHelpers\ChromeHelper\ChromeHelper.exe (PUP.Optional.SearchDonkey.A) -> 3572 -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RHelpers\FirefoxHelper\FirefoxHelper.exe (PUP.Optional.SearchDonkey.A) -> 3624 -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RHelpers\IeHelper\IeHelper.exe (PUP.Optional.SearchDonkey.A) -> 3672 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 10
HKCR\CLSID\{D40753C7-8A59-4C1F-BE88-C300F4624D5B} (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{C292AD0A-C11F-479B-B8DB-743E72D283B0} (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{44ED99E2-16A6-4B89-80D6-5B21CF42E78B} (PUP.Optional.SafeMonitor.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{44ED99E2-16A6-4B89-80D6-5B21CF42E78B} (PUP.Optional.SafeMonitor.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3004627E-F8E9-4E8B-909D-316753CBA923} (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\nationzoomSoftware (PUP.Optional.NationZoom.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Daten: 0A2O0R1R1H2Z1S1G0H1F -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 11
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.MySearchDial.A) -> Bösartig: (hxxp://start.mysearchdial.com/?f=1&a=dsites1202&cd=2XzuyEtN2Y1L1QzutDtDtC0F0DtD0AtD0B0EyE0FyD0BzzyCtN0D0Tzu0SyBtCyDtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=2077916402&ir=) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.NationZoom.A) -> Bösartig: (hxxp://www.nationzoom.com/?type=hp&ts=1387053628&from=adks&uid=XXX_XXXX) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command| (PUP.Optional.NationZoom.A) -> Bösartig: (C:\Programme\Internet Explorer\iexplore.exe hxxp://www.nationzoom.com/?type=sc&ts=1387051261&from=adks&uid=_) Gut: (iexplore.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (PUP.Optional.NationZoom.A) -> Bösartig: (hxxp://www.nationzoom.com/web/?type=ds&ts=1387053628&from=adks&uid=XXX_XXXX&q={searchTerms}) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.MySearchDial.A) -> Bösartig: (hxxp://start.mysearchdial.com/?f=1&a=dsites1202&cd=2XzuyEtN2Y1L1QzutDtDtC0F0DtD0AtD0B0EyE0FyD0BzzyCtN0D0Tzu0SyBtCyDtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=2077916402&ir=) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (PUP.Optional.NationZoom.A) -> Bösartig: (hxxp://www.nationzoom.com/web/?type=ds&ts=1387053628&from=adks&uid=XXX_XXXX&q={searchTerms}) Gut: (hxxp://www.google.com/) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|CustomizeSearch (PUP.Optional.NationZoom.A) -> Bösartig: (hxxp://www.nationzoom.com/web/?type=ds&ts=1387053628&from=adks&uid=XXX_XXXX&q={searchTerms}) Gut: (hxxp://www.google.com/) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|DefaultScope (PUP.Optional.Qone8) -> Bösartig: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}) Gut: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\Software\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.NationZoom.A) -> Bösartig: (hxxp://www.nationzoom.com/?type=hp&ts=1387053628&from=adks&uid=XXX_XXXX) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\Software\Microsoft\Internet Explorer\Main|Search Page (PUP.Optional.NationZoom) -> Bösartig: (hxxp://www.nationzoom.com/web/?type=ds&ts=1387053628&from=adks&uid=XXX_XXXX&q={searchTerms}) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 10
C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\mysearchdial (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\mysearchdial\icons_2.2.14.1379 (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\mysearchdial\mysearchdial (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\mysearchdial\UpdateProc (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Gemeinsame Dateien\337\libcef (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Gemeinsame Dateien\337\libcef\1.1364.1123 (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Gemeinsame Dateien\337\libcef\1.1364.1123\locales (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RHelpers\ChromeHelper (PUP.Optional.Searchagent) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RHelpers\FirefoxHelper (PUP.Optional.Searchagent) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RHelpers\IeHelper (PUP.Optional.Searchagent) -> Löschen bei Neustart.

Infizierte Dateien: 14
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RHelpers\ChromeHelper\ChromeHelper.exe (PUP.Optional.SearchDonkey.A) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RHelpers\FirefoxHelper\FirefoxHelper.exe (PUP.Optional.SearchDonkey.A) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RHelpers\IeHelper\IeHelper.exe (PUP.Optional.SearchDonkey.A) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-21-1060284298-1292428093-1801674531-1004\Dc2.exe (PUP.Optional.JumpyApps) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Temp\ysi6fKg6.exe.part (PUP.Optional.iBryte) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pflphaooapbgpeakohlggbpidpppgdff_0.localstorage (PUP.Optional.FunMoods.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Mozilla Firefox\browser\searchplugins\nationzoom.xml (PUP.Optional.NationZoom.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\mysearchdial\icons_2.2.14.1379\62.ico (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\mysearchdial\icons_2.2.14.1379\80.ico (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\mysearchdial\UpdateProc\config.dat (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\mysearchdial\UpdateProc\UpdateTask.exe (PUP.Optional.MySearchDial.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Gemeinsame Dateien\337\libcef\1.1364.1123\icudt.dll (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Gemeinsame Dateien\337\libcef\1.1364.1123\libcef.dll (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Gemeinsame Dateien\337\libcef\1.1364.1123\locales\en-US.pak (PUP.Optional.337Technologies.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Jetzt ADWCleaner:

Code:
# AdwCleaner v3.015 - Bericht erstellt am 15/12/2013 um 21:52:30
# Updated 10/12/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzername : Michael Walter - MICHAEL-2C01566
# Gestartet von : C:\Dokumente und Einstellungen\Michael Walter\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TubeDimmer
Ordner Gelöscht : C:\Programme\tuguu sl
Ordner Gelöscht : C:\Programme\Yontoo
Ordner Gelöscht : C:\Programme\Gemeinsame Dateien\337
Datei Gelöscht : C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\Mozilla\Firefox\Profiles\s8i62gg6.default\Extensions\plugin@yontoo.com.xpi
Datei Gelöscht : C:\Dokumente und Einstellungen\Michael Walter\Desktop\eBay.lnk
Datei Gelöscht : C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\Mozilla\Firefox\Profiles\s8i62gg6.default\searchplugins\Mysearchdial.xml
Datei Gelöscht : C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\Mozilla\Firefox\Profiles\s8i62gg6.default\user.js

***** [ Verknüpfungen ] *****

Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Michael Walter\Desktop\Amazon.lnk

nochmal

# AdwCleaner v3.015 - Bericht erstellt am 15/12/2013 um 21:54:28
# Updated 10/12/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzername : Michael Walter - MICHAEL-2C01566
# Gestartet von : C:\Dokumente und Einstellungen\Michael Walter\Desktop\adwcleaner.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****


***** [ Verknüpfungen ] *****

Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Michael Walter\Desktop\WEB.DE.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Michael Walter\Startmenü\Programme\Internet Explorer.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Michael Walter\Startmenü\Programme\Zubehör\Systemprogramme\Internet Explorer (ohne Add-Ons).lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
Verknüpfung Desinfiziert : C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\WEB.DE.lnk

***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\aaaaojmikegpiepcfdkkjaplodkpfmlo
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Schlüssel Gelöscht : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\DeskSvc
Wert Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Updater]
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C424171E-592A-415A-9EB1-DFD6D95D3530}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C424171E-592A-415A-9EB1-DFD6D95D3530}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C424171E-592A-415A-9EB1-DFD6D95D3530}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{C424171E-592A-415A-9EB1-DFD6D95D3530}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{C424171E-592A-415A-9EB1-DFD6D95D3530}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Schlüssel Gelöscht : HKCU\Software\APN PIP
Schlüssel Gelöscht : HKCU\Software\DynConIE
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\Desksvc
Schlüssel Gelöscht : HKLM\Software\hdcode
Schlüssel Gelöscht : HKLM\Software\mysearchdial
Schlüssel Gelöscht : HKLM\Software\PIP
Schlüssel Gelöscht : HKLM\Software\Tarma Installer
Schlüssel Gelöscht : HKLM\Software\V9
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5BD2C4F096973EFF09721393C9B4B70D
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\70DE937F5263D31257AFCD8F32D88E14
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7F523B0464A20E14EBF2321CF9F701E1
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A09B622C2C3B39BB22E30D3461F04D25
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AFF0773F286EAFB4E643B45441195040
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D4A81AA47FF139384279D6A388453BAB
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F8DC5E5065B2F051E208578EECDC1C75
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7F523B0464A20E14EBF2321CF9F701E1
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\7F523B0464A20E14EBF2321CF9F701E1
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\7F523B0464A20E14EBF2321CF9F701E1

***** [ Browser ] *****

-\\ Internet Explorer v8.0.6001.18702

Einstellung Wiederhergestellt : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls [Tabs]

-\\ Mozilla Firefox v26.0 (de)

[ Datei : C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\Mozilla\Firefox\Profiles\s8i62gg6.default\prefs.js ]

Zeile gelöscht : user_pref("browser.newtab.url", "hxxp://www.nationzoom.com/newtab/?type=nt&ts=1387053628&from=adks&uid=XXX_XXXX");
Zeile gelöscht : user_pref("browser.search.order.1", "Ask.com");
Zeile gelöscht : user_pref("browser.search.selectedEngine", "Mysearchdial");
Zeile gelöscht : user_pref("browser.startup.homepage", "hxxp://start.mysearchdial.com/?f=1&a=dsites1202&cd=2XzuyEtN2Y1L1QzutDtDtC0F0DtD0AtD0B0EyE0FyD0BzzyCtN0D0Tzu0SyBtCyDtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P[...]
Zeile gelöscht : user_pref("extentions.y2layers.defaultEnableAppsList", "DropDownDeals,buzzdock,YontooNewOffers");
Zeile gelöscht : user_pref("extentions.y2layers.installId", "1ae54c42-1623-4fab-be21-59270edf0883");
Zeile gelöscht : user_pref("browser.search.defaultenginename", "Mysearchdial");

*************************

AdwCleaner[R0].txt - [9778 octets] - [15/12/2013 21:50:51]
AdwCleaner[R1].txt - [8669 octets] - [15/12/2013 21:53:49]
AdwCleaner[S0].txt - [1432 octets] - [15/12/2013 21:52:30]
AdwCleaner[S1].txt - [8055 octets] - [15/12/2013 21:54:28]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [8115 octets] ##########
dann JRT

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.8 (11.05.2013:1)
OS: Microsoft Windows XP x86
Ran by Michael Walter on 15.12.2013 at 21:58:50,12
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName
Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{40b325f7-2a46-41e0-be2f-23c19f7f101e}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CF61D115-D2ED-42A4-8E0B-1B68E3BF8CB0}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [Folder] C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\mozilla\firefox\profiles\s8i62gg6.default\extensions\staged





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 15.12.2013 at 22:01:15,26
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
und der Shortcut Cleaner

Code:
Shortcut Cleaner 1.2.6 by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2013 BleepingComputer.com
More Information about Shortcut Cleaner can be found at this link:
 hxxp://www.bleepingcomputer.com/download/shortcut-cleaner/

Windows Version: Microsoft Windows XP Service Pack 3
Program started at: 12/15/2013 10:02:23 PM.

Scanning for registry hijacks:

 * No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Dokumente und Einstellungen\Michael Walter\Startmenü\

Searching C:\Dokumente und Einstellungen\All Users\Startmenü\

Searching C:\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\

Searching C:\Dokumente und Einstellungen\All Users\Desktop\

Searching C:\Dokumente und Einstellungen\Michael Walter\Desktop


0 bad shortcuts found.

Program finished at: 12/15/2013 10:02:23 PM
Execution time: 0 hours(s), 0 minute(s), and 0 seconds(s)
Jetzt habe ich ein neues FRST gemacht:
siehe wieder Anhang

OK, super bis hierhin, Nationzoom ist weg, jippie, :taenzer: jetzt läuft das ESET, da hat er allerdings noch was gefunden::confused:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=bffe9bf824ce9c48b9a1010634400770
# engine=16280
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-12-15 10:21:13
# local_time=2013-12-15 11:21:13 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# scanned=192255
# found=16
# cleaned=0
# scan_time=3799
sh=58B0E7D65F8A0AE44010F9788A666D1F91F3CA37 ft=1 fh=5cf0ae44d2f2339c vn="a variant of Win32/Adware.Yontoo.B application" ac=I fn="C:\AdwCleaner\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll.vir"
sh=1F15642CFCFC3825E7CAE4B38B822BBA5FEDCFE4 ft=0 fh=0000000000000000 vn="Win32/Adware.Yontoo application" ac=I fn="C:\AdwCleaner\Quarantine\C\Dokumente und Einstellungen\Michael Walter\Anwendungsdaten\Mozilla\Firefox\Profiles\s8i62gg6.default\Extensions\plugin@yontoo.com.xpi.vir"
sh=B90C805523803A40D3DCADD85BC0E1AE4E96B7C6 ft=1 fh=2036f97dca12fb1f vn="a variant of Win32/Adware.Yontoo.A application" ac=I fn="C:\AdwCleaner\Quarantine\C\Programme\Yontoo\YontooIEClient.dll.vir"
sh=96724E586A7B3ACB2EC8D78A881B9471E6863FE5 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2013-0422.DI trojan" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\79ad67c0-2f0522b7"
sh=49F135C633C972BD84973E290DA0485D0742035A ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.PCE trojan" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\32fdf9c1-5df95856"
sh=49F135C633C972BD84973E290DA0485D0742035A ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.PCE trojan" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14\1ae430e-5e7105f5"
sh=281B8341956504BFC17734ACD5CD015F86A13A64 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\5a25a9d5-431c4c61"
sh=49F135C633C972BD84973E290DA0485D0742035A ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.PCE trojan" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28\2125a9dc-600aeb8e"
sh=7CBEB48805DFA93E3A6E37C48A647DE3CBCAB90A ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2013-1493.FG trojan" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\18900322-47917ec7"
sh=969A777441B2918A442288BCB09328BF9D2CBC3E ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\30bedaa7-4eddb765"
sh=96724E586A7B3ACB2EC8D78A881B9471E6863FE5 ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2013-0422.DI trojan" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41\5320bfe9-1d9dceb8"
sh=969A777441B2918A442288BCB09328BF9D2CBC3E ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44\22620fac-51d97eda"
sh=2533674A34DABAE318EAA8BBB606091618D1A0AA ft=0 fh=0000000000000000 vn="a variant of Java/Exploit.CVE-2013-1493.FG trojan" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\4338ecb5-271d0841"
sh=6E8D824EAB34EB5F62321934D2DBF7FD18F0B91C ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\74a22b38-11c62d8d"
sh=969A777441B2918A442288BCB09328BF9D2CBC3E ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\Dokumente und Einstellungen\Michael Walter\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\f9fb147-32fd6e8b"
sh=7D0123D328E17B7EFBF9B6BDB3E6A77E75C58A17 ft=1 fh=7fd1178745abe191 vn="a variant of Win32/AdWare.iBryte.J.gen application" ac=I fn="C:\Programme Downloads\Firefox\Updater_Setup.exe"
und jetzt noch der Security Check:

Code:
Results of screen317's Security Check version 0.99.77 
 Windows XP Service Pack 3 x86 
 Internet Explorer 8 
``````````````Antivirus/Firewall Check:``````````````
 ESET Online Scanner v3 
 McAfee VirusScan Enterprise   
`````````Anti-malware/Other Utilities Check:`````````
 Malwarebytes Anti-Malware Version 1.75.0.1300 
 CCleaner   
 Java 7 Update 45 
 Adobe Flash Player        11.9.900.152 
 Adobe Reader XI 
 Mozilla Firefox (26.0)
````````Process Check: objlist.exe by Laurent```````` 
 Network Associates VirusScan Mcshield.exe 
 Network Associates VirusScan VsTskMgr.exe 
 Network Associates VirusScan SHSTAT.EXE 
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:: 
````````````````````End of Log``````````````````````
und zur Sicherheit ein weiteres FRST Log:
und wieder der Anhang

So, jetzt ist zwar Nationzoom weg, und auch als Nebeneffekt einige andere komischen Dinge (:applaus:), aber mich macht das Finden von einigen Dateien bei ESET etwas nervös...bin ich jetzt sauber und alles ist in Ordnung, oder muss ich noch was machen???:confused:

Viiiiieeeeelen Dank

Bauigel72

schrauber 16.12.2013 04:07
Alles sauber, noch Temps aufräumen und ab dafür :)

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Fertig :)

Falls Du Lob oder Kritik loswerden möchtest kannst Du das hier tun :)


Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Bauigel72 17.12.2013 19:47
Hallo Schrauber,

hab alles erledigt, TFC und Delfix laufen lassen, alles super!
Allerdings hat sich TFC nicht automatisch geschlossen und wieder den Desktop
angezeigt. Musste neu starten. Schlimm?:confused:
Es müsste jetzt also wieder alles in Ordnung sein bei mir!:dankeschoen::taenzer::Boogie:
Viiiieeeelllleeeennn Dank!!!! Ich bin so froh, dass es euch gibt!:applaus:
Danke auch für die weiteren Tipps, werde Sie brav befolgen!
Spende folgt umgehend!

Hoffentlich bis nie wieder (im Positiven Sinn);)

Bauigel72

schrauber 18.12.2013 10:35
Gern Geschehen :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131