Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   "iexplore.exe" verursacht Traffic + GuraqVM,NecursX und Dropper gefunden (https://www.trojaner-board.de/147567-iexplore-exe-verursacht-traffic-guraqvm-necursx-dropper-gefunden.html)

adsun 08.01.2014 15:14
"iexplore.exe" verursacht Traffic + GuraqVM,NecursX und Dropper gefunden
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo!
Der Fund:
An Neujahr tauchte Abends nach dem Anmelden eine Windows Meldung auf, die mich dazu aufforderte ein Passwort für die Verschlüsselung meiner Daten auszuwählen. Habe darauf hin das Problem bei Google nachgeschlagen, den "EFS" Dienst deaktiviert und hatte keine Probleme mehr, damit war das Thema erstmal vergessen.
6 Tage Später wurde meine Internetverbindung furchtbar langsam. Also speedtest gemacht und einen Ping von über 500ms sowie eine stark gesunkene Bandbreite festgestellt. Im Taskmanager ist mir dann die "iexplore.exe" aufgefallen, welche 4-mal ausgeführt wurde. Ein blick in den Ressourcenmanager hat mir dann einen ziemlichen Schrecken eingejagt (Screenshot im Anhang).

Meine Maßnahmen:
Ein Avira scan (von einer anderen Windows installation aus) hat einige Schädlinge gefunden, diese wurden in die Quarantäne verschoben.

Danach habe ich wieder das befallene OS gebootet. "iexplore.exe" kam jedoch nach wenigen Minuten zurück. Darauf hin ein weiterer Scan, dieses mal von dem befallen System aus, jedoch ohne fund.

Darauf hin habe Ich mich Heute dann hier angemeldet, Defogger ohne Fehlermeldung und FRST64.exe ausgeführt. GMER meldet sich beim Start mit der Meldung: "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird." Habe vor dem Start Browser, AV und andere Programme beendet.
Wenn ich nun auf Scan clicke, kommt diese Meldung erneut, darauf hin erscheint eine ganz ähnliche nur mit anderem Pfad: "C:\Users\Adrian\ntuser.dat" und darauf hin sagt mir GMER, dass es keine "system modification" gefunden hat. Die Gmer.txt ist komplett leer.

Ein Screenshot des Resourcenmonitors sowie die Logs sind im Anhang, da zu lang.

aharonov 08.01.2014 15:56
Hallo,

ja da ist ein Rootkit-Treiber aktiv..


Schritt 1

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.




Schritt 2

Starte noch einmal FRST.
  • Ändere keine der Voreinstellungen und drücke auf Scan.
  • Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
  • Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

adsun 08.01.2014 16:41
Vielen Dank für die schnelle Antwort!

Hier die Combofix Logfile:
Code:
ComboFix 14-01-08.02 - Adrian 08.01.2014  16:24:54.1.4 - x64
Microsoft Windows 7 Ultimate  6.1.7600.0.1252.49.1031.18.8137.5850 [GMT 1:00]
ausgeführt von:: c:\users\Adrian\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HpM3Util.exe
H:\install.exe
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_syshost32
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-12-08 bis 2014-01-08  ))))))))))))))))))))))))))))))
.
.
2014-01-08 13:00 . 2014-01-08 13:00        --------        d-----w-        C:\FRST
2014-01-08 02:16 . 2014-01-08 02:16        --------        d-----w-        c:\programdata\Avira
2014-01-08 02:16 . 2014-01-08 02:16        --------        d-----w-        c:\program files (x86)\Avira
2014-01-08 02:16 . 2013-12-09 10:37        84720        ----a-w-        c:\windows\system32\drivers\avnetflt.sys
2014-01-08 02:16 . 2013-12-09 10:37        28600        ----a-w-        c:\windows\system32\drivers\avkmgr.sys
2014-01-08 02:16 . 2013-12-09 10:37        131576        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2014-01-08 02:16 . 2013-12-09 10:37        108440        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2014-01-08 00:04 . 2014-01-08 00:04        422216        ----a-w-        c:\windows\system32\drivers\yykjfgac.sys
2014-01-07 23:59 . 2014-01-07 23:59        422216        ----a-w-        c:\windows\system32\drivers\wawbnwwu.sys
2014-01-07 23:59 . 2014-01-07 23:59        --------        d-----w-        c:\programdata\AVAST Software
2014-01-04 22:59 . 2014-01-04 22:59        --------        d-----w-        c:\program files (x86)\Cheat Engine 6.3
2014-01-04 21:59 . 2014-01-04 21:59        --------        d-----w-        c:\program files (x86)\GeoGebra 4.4
2014-01-03 05:37 . 2014-01-03 05:37        --------        d-----w-        c:\program files\Electron
2014-01-03 04:55 . 2014-01-03 04:55        71048        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2014-01-03 04:55 . 2014-01-03 04:55        692616        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe
2014-01-03 04:55 . 2014-01-03 04:55        --------        d-----w-        c:\windows\SysWow64\Macromed
2014-01-03 04:55 . 2014-01-03 04:55        --------        d-----w-        c:\windows\system32\Macromed
2014-01-02 21:32 . 2014-01-02 21:32        --------        d-----w-        c:\program files (x86)\AGEIA Technologies
2013-12-31 17:21 . 2013-12-31 17:21        --------        d-----w-        c:\program files (x86)\Notepad++
2013-12-31 15:06 . 2013-12-31 15:06        279616        ----a-w-        c:\windows\system32\drivers\dtsoftbus01.sys
2013-12-31 15:05 . 2013-12-31 15:06        --------        d-----w-        c:\program files (x86)\DAEMON Tools Lite
2013-12-31 15:05 . 2013-12-31 15:05        --------        d-----w-        c:\programdata\DAEMON Tools Lite
2013-12-30 23:48 . 2013-12-30 23:48        --------        d-----w-        c:\programdata\Oracle
2013-12-30 23:48 . 2013-12-30 23:48        --------        d-----w-        c:\program files (x86)\Common Files\Java
2013-12-30 23:48 . 2013-12-30 23:48        96168        ----a-w-        c:\windows\SysWow64\WindowsAccessBridge-32.dll
2013-12-30 23:48 . 2013-12-30 23:48        --------        d-----w-        c:\program files (x86)\Java
2013-12-30 21:17 . 2013-12-30 21:17        --------        d-sh--w-        c:\programdata\DSS
2013-12-30 21:17 . 2013-12-30 21:17        --------        d-----w-        c:\programdata\Codemasters
2013-12-30 21:17 . 2013-12-30 21:17        --------        d-----w-        c:\windows\SysWow64\xlive
2013-12-30 21:17 . 2013-12-30 21:17        --------        d-----w-        c:\program files (x86)\Microsoft Games for Windows - LIVE
2013-12-30 21:16 . 2013-12-30 21:16        --------        d-----w-        c:\program files (x86)\BRS
2013-12-30 21:16 . 2011-03-19 14:16        1417216        ----a-w-        c:\windows\SysWow64\rapture3d_oal.dll
2013-12-30 21:16 . 2010-09-22 12:12        19087360        ----a-w-        c:\windows\SysWow64\mkl_blueripple.dll
2013-12-30 21:16 . 2013-12-30 21:16        466456        ----a-w-        c:\windows\system32\wrap_oal.dll
2013-12-30 21:16 . 2013-12-30 21:16        444952        ----a-w-        c:\windows\SysWow64\wrap_oal.dll
2013-12-30 21:16 . 2013-12-30 21:16        122904        ----a-w-        c:\windows\system32\OpenAL32.dll
2013-12-30 21:16 . 2013-12-30 21:16        109080        ----a-w-        c:\windows\SysWow64\OpenAL32.dll
2013-12-30 21:16 . 2013-12-30 21:16        --------        d-----w-        c:\program files (x86)\OpenAL
2013-12-30 02:57 . 2013-12-30 02:57        --------        d-----w-        c:\program files\Microsoft Xbox 360 Accessories
2013-12-29 21:07 . 2013-12-10 02:13        982232        ----a-w-        c:\windows\SysWow64\nvspcap.dll
2013-12-29 21:07 . 2013-12-10 02:13        1100248        ----a-w-        c:\windows\system32\nvspcap64.dll
2013-12-29 21:07 . 2013-12-05 08:42        39200        ----a-w-        c:\windows\system32\drivers\nvvad64v.sys
2013-12-29 21:07 . 2013-12-05 08:42        32544        ----a-w-        c:\windows\SysWow64\nvaudcap32v.dll
2013-12-29 19:51 . 2013-12-29 19:51        --------        d-----w-        c:\program files\TeamSpeak 3 Client
2013-12-29 19:31 . 2014-01-02 19:05        --------        d-----w-        c:\programdata\TrackMania
2013-12-29 18:38 . 2014-01-08 01:42        --------        d-----w-        c:\programdata\ManiaPlanet
2013-12-29 18:22 . 2013-12-29 18:22        --------        d-----w-        c:\program files (x86)\Common Files\Adobe
2013-12-29 17:47 . 2013-12-29 17:47        --------        d-----w-        c:\program files\7-Zip
2013-12-28 19:01 . 2012-12-16 16:52        46080        ----a-w-        c:\windows\system32\atmlib.dll
2013-12-28 19:01 . 2012-12-16 14:40        367616        ----a-w-        c:\windows\system32\atmfd.dll
2013-12-28 19:01 . 2012-12-16 14:25        295424        ----a-w-        c:\windows\SysWow64\atmfd.dll
2013-12-28 19:01 . 2012-12-16 14:25        34304        ----a-w-        c:\windows\SysWow64\atmlib.dll
2013-12-28 19:01 . 2009-10-19 14:46        100864        ----a-w-        c:\windows\system32\fontsub.dll
2013-12-28 19:01 . 2009-10-19 14:10        70656        ----a-w-        c:\windows\SysWow64\fontsub.dll
2013-12-28 18:59 . 2013-12-16 00:54        10315576        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{C294A56F-2497-4058-AAF8-D8EE68724E0E}\mpengine.dll
2013-12-28 18:58 . 2013-12-28 18:59        --------        d-----w-        c:\windows\system32\MRT
2013-12-28 18:57 . 2012-03-01 06:54        22896        ----a-w-        c:\windows\system32\drivers\fs_rec.sys
2013-12-28 18:57 . 2012-03-01 06:45        220672        ----a-w-        c:\windows\system32\wintrust.dll
2013-12-28 18:57 . 2012-03-01 06:40        80896        ----a-w-        c:\windows\system32\imagehlp.dll
2013-12-28 18:57 . 2012-03-01 06:35        5120        ----a-w-        c:\windows\system32\wmi.dll
2013-12-28 18:57 . 2012-03-01 05:49        172544        ----a-w-        c:\windows\SysWow64\wintrust.dll
2013-12-28 18:57 . 2012-03-01 05:45        158720        ----a-w-        c:\windows\SysWow64\imagehlp.dll
2013-12-28 18:57 . 2012-03-01 05:40        5120        ----a-w-        c:\windows\SysWow64\wmi.dll
2013-12-28 18:51 . 2011-12-28 03:59        499200        ----a-w-        c:\windows\system32\drivers\afd.sys
2013-12-28 18:50 . 2011-02-23 05:15        157696        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys
2013-12-28 18:49 . 2011-11-19 15:07        77312        ----a-w-        c:\windows\system32\packager.dll
2013-12-28 18:49 . 2011-11-19 14:06        67072        ----a-w-        c:\windows\SysWow64\packager.dll
2013-12-28 18:43 . 2012-06-02 22:19        2428952        ----a-w-        c:\windows\system32\wuaueng.dll
2013-12-28 18:43 . 2012-06-02 22:19        57880        ----a-w-        c:\windows\system32\wuauclt.exe
2013-12-28 18:43 . 2012-06-02 22:19        44056        ----a-w-        c:\windows\system32\wups2.dll
2013-12-28 18:43 . 2012-06-02 22:15        2622464        ----a-w-        c:\windows\system32\wucltux.dll
2013-12-28 18:42 . 2012-06-02 22:19        38424        ----a-w-        c:\windows\system32\wups.dll
2013-12-28 18:42 . 2012-06-02 22:19        701976        ----a-w-        c:\windows\system32\wuapi.dll
2013-12-28 18:42 . 2012-06-02 22:15        99840        ----a-w-        c:\windows\system32\wudriver.dll
2013-12-28 18:42 . 2012-06-02 14:19        186752        ----a-w-        c:\windows\system32\wuwebv.dll
2013-12-28 18:42 . 2012-06-02 14:15        36864        ----a-w-        c:\windows\system32\wuapp.exe
2013-12-28 18:18 . 2013-12-28 18:18        --------        d-----w-        c:\programdata\SteelSeries
2013-12-28 18:16 . 2013-04-26 02:24        20464        ----a-w-        c:\windows\system32\drivers\iusb3hcs.sys
2013-12-28 18:16 . 2013-04-26 02:24        786416        ----a-w-        c:\windows\system32\drivers\iusb3xhc.sys
2013-12-28 18:16 . 2013-04-26 02:24        368112        ----a-w-        c:\windows\system32\drivers\iusb3hub.sys
2013-12-28 18:13 . 2013-12-28 18:13        --------        d-----w-        c:\program files\SteelSeries
2013-12-28 17:59 . 2014-01-01 14:25        --------        d-----w-        C:\Spiele
2013-12-28 17:45 . 2014-01-08 15:32        --------        d-----w-        c:\program files (x86)\Steam
2013-12-28 17:45 . 2014-01-08 01:39        --------        d-----w-        c:\program files (x86)\Common Files\Steam
2013-12-28 17:17 . 2013-05-02 04:01        2032896        ----a-w-        c:\windows\system32\MaxxAudioEQ64.dll
2013-12-28 17:16 . 2013-12-28 18:16        --------        d-----w-        c:\program files (x86)\Intel
2013-12-28 17:16 . 2013-02-27 14:37        53248        ----a-w-        c:\windows\SysWow64\CSVer.dll
2013-12-28 17:16 . 2013-12-28 17:16        --------        d-----w-        C:\Intel
2013-12-28 17:13 . 2013-12-29 21:07        --------        d-----w-        c:\programdata\NVIDIA
2013-12-28 17:13 . 2013-11-11 15:02        6674208        ----a-w-        c:\windows\system32\nvcpl.dll
2013-12-28 17:13 . 2013-11-11 15:02        3490080        ----a-w-        c:\windows\system32\nvsvc64.dll
2013-12-28 17:13 . 2013-11-11 15:01        922912        ----a-w-        c:\windows\system32\nvvsvc.exe
2013-12-28 17:13 . 2013-11-11 15:01        63776        ----a-w-        c:\windows\system32\nvshext.dll
2013-12-28 17:13 . 2013-11-11 15:01        2559776        ----a-w-        c:\windows\system32\nvsvcr.dll
2013-12-28 17:13 . 2013-11-11 15:01        219424        ----a-w-        c:\windows\system32\nvmctray.dll
2013-12-28 17:13 . 2013-11-11 15:01        3467927        ----a-w-        c:\windows\system32\nvcoproc.bin
2013-12-28 17:13 . 2013-11-14 11:56        61216        ----a-w-        c:\windows\system32\OpenCL.dll
2013-12-28 17:13 . 2013-11-14 11:56        53024        ----a-w-        c:\windows\SysWow64\OpenCL.dll
2013-12-28 17:13 . 2013-12-29 21:07        --------        d-----w-        c:\programdata\NVIDIA Corporation
2013-12-28 17:13 . 2014-01-02 21:32        --------        d-----w-        c:\program files (x86)\NVIDIA Corporation
2013-12-28 17:12 . 2013-12-28 17:12        --------        d-----w-        c:\program files (x86)\Microsoft.NET
2013-12-28 17:11 . 2009-11-25 19:47        49472        ----a-w-        c:\windows\SysWow64\netfxperf.dll
2013-12-28 17:11 . 2009-11-25 19:47        297808        ----a-w-        c:\windows\SysWow64\mscoree.dll
2013-12-28 17:11 . 2009-11-25 19:47        99176        ----a-w-        c:\windows\SysWow64\PresentationHostProxy.dll
2013-12-28 17:11 . 2009-11-25 19:47        48960        ----a-w-        c:\windows\system32\netfxperf.dll
2013-12-28 17:11 . 2009-11-25 19:47        295264        ----a-w-        c:\windows\SysWow64\PresentationHost.exe
2013-12-28 17:11 . 2009-11-25 19:47        1130824        ----a-w-        c:\windows\SysWow64\dfshim.dll
2013-12-28 17:11 . 2009-11-25 19:47        109912        ----a-w-        c:\windows\system32\PresentationHostProxy.dll
2013-12-28 17:11 . 2009-11-25 19:47        444752        ----a-w-        c:\windows\system32\mscoree.dll
2013-12-28 17:11 . 2009-11-25 19:47        320352        ----a-w-        c:\windows\system32\PresentationHost.exe
2013-12-28 17:11 . 2009-11-25 19:47        1942856        ----a-w-        c:\windows\system32\dfshim.dll
2013-12-28 17:09 . 2013-12-28 17:09        --------        d-----w-        C:\NVIDIA
2013-12-28 16:58 . 2013-12-28 16:59        --------        d-----w-        c:\program files (x86)\Google
2013-12-28 16:56 . 2013-12-28 17:17        --------        d--h--w-        c:\program files (x86)\InstallShield Installation Information
2013-12-28 16:56 . 2014-01-08 15:32        --------        d-----w-        c:\programdata\Bigfoot Networks
2013-12-28 16:56 . 2013-12-28 16:56        --------        d-----w-        c:\program files\Qualcomm Atheros
2013-12-28 16:56 . 2014-01-08 02:15        --------        d-sh--w-        c:\windows\Installer
2013-12-28 16:55 . 2013-12-28 16:55        --------        d-----w-        C:\MSI
2013-12-28 16:55 . 2013-12-28 16:55        --------        d-----w-        c:\programdata\Samsung
2013-12-28 16:48 . 2014-01-08 12:55        --------        d-----w-        c:\users\Adrian
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-12-30 21:19 . 2009-08-18 11:49        564632        ----a-w-        c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll
2013-12-30 21:19 . 2009-08-18 10:24        22240        ----a-w-        c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2013-12-01 13:42 . 2009-10-14 05:12        90708896        ----a-w-        c:\windows\system32\MRT.exe
2013-11-26 11:25 . 2009-10-14 05:13        267936        ------w-        c:\windows\system32\MpSigStub.exe
2013-10-30 16:15 . 2013-10-30 16:15        140800        ----a-w-        c:\windows\system32\drivers\SteelBus64.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09        131248        ----a-w-        c:\users\Adrian\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09        131248        ----a-w-        c:\users\Adrian\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09        131248        ----a-w-        c:\users\Adrian\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SteelSeries Engine"="c:\program files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe" [2013-11-05 242688]
"Steam"="c:\program files (x86)\Steam\steam.exe" [2014-01-07 1815464]
"YgbPack"="c:\users\Adrian\AppData\Local\YgbPack\regdlg54.dll" [2014-01-01 19456]
"Spotify Web Helper"="c:\users\Adrian\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2014-01-05 1168896]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2013-04-26 292848]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-09-05 958576]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2013-07-02 254336]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2013-12-09 684600]
.
c:\users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Adrian\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2013-12-18 30714312]
Samsung Magician.lnk - d:\programme\Samsung Magician\Samsung Magician.exe  /AUTOHIDE [2013-12-30 4580256]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Qualcomm Atheros Killer Network Manager.lnk - c:\program files\Qualcomm Atheros\Killer Network Manager\KillerNetManager.exe -minimized [2013-4-30 553984]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys;c:\windows\SYSNATIVE\DRIVERS\avkmgr.sys [x]
R2 AntiVirWebService;Avira Browser-Schutz;c:\program files (x86)\Avira\AntiVir Desktop\avwebg7.exe;c:\program files (x86)\Avira\AntiVir Desktop\avwebg7.exe [x]
R2 avnetflt;avnetflt;c:\windows\system32\DRIVERS\avnetflt.sys;c:\windows\SYSNATIVE\DRIVERS\avnetflt.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R3 MSICDSetup;MSICDSetup;g:\cdriver64.sys;g:\CDriver64.sys [x]
R3 NTIOLib_1_0_C;NTIOLib_1_0_C;g:\ntiolib_x64.sys;g:\NTIOLib_X64.sys [x]
S0 iusb3hcs;Intel(R) USB 3.0 Hostcontroller-Switchtreiber;c:\windows\system32\DRIVERS\iusb3hcs.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hcs.sys [x]
S1 BfLwf;Qualcomm Atheros Bandwidth Control;c:\windows\system32\DRIVERS\bflwfx64.sys;c:\windows\SYSNATIVE\DRIVERS\bflwfx64.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys;c:\windows\SYSNATIVE\DRIVERS\dtsoftbus01.sys [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [x]
S2 NvNetworkService;NVIDIA Network Service;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [x]
S2 NvStreamSvc;NVIDIA Streamer Service;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [x]
S2 Qualcomm Atheros Killer Service;Qualcomm Atheros Killer Service;c:\program files\Qualcomm Atheros\Killer Network Manager\BFNService.exe;c:\program files\Qualcomm Atheros\Killer Network Manager\BFNService.exe [x]
S3 busenum;SteelBusSvc;c:\windows\system32\DRIVERS\SteelBus64.sys;c:\windows\SYSNATIVE\DRIVERS\SteelBus64.sys [x]
S3 iusb3hub;Intel(R) USB 3.0-Hubtreiber;c:\windows\system32\DRIVERS\iusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hub.sys [x]
S3 iusb3xhc;Intel(R) USB 3.0 eXtensible-Hostcontrollertreiber;c:\windows\system32\DRIVERS\iusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3xhc.sys [x]
S3 Ke2200;NDIS Miniport Driver for the Killer e2200 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\e22w7x64.sys;c:\windows\SYSNATIVE\DRIVERS\e22w7x64.sys [x]
S3 MBfilt;MBfilt;c:\windows\system32\drivers\MBfilt64.sys;c:\windows\SYSNATIVE\drivers\MBfilt64.sys [x]
S3 nvvad_WaveExtensible;NVIDIA Virtual Audio Device (Wave Extensible) (WDM);c:\windows\system32\drivers\nvvad64v.sys;c:\windows\SYSNATIVE\drivers\nvvad64v.sys [x]
S3 SAlphamHid;SteelHIDSvc;c:\windows\system32\DRIVERS\SAlpham64.sys;c:\windows\SYSNATIVE\DRIVERS\SAlpham64.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - 73fe39bdce5f1075
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-01-07 22:47        1211672        ----a-w-        c:\program files (x86)\Google\Chrome\Application\32.0.1700.72\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2014-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2013-12-28 16:58]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09        164016        ----a-w-        c:\users\Adrian\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09        164016        ----a-w-        c:\users\Adrian\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09        164016        ----a-w-        c:\users\Adrian\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09        164016        ----a-w-        c:\users\Adrian\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nvtmru"="c:\program files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" [2013-11-14 1028384]
"NvBackend"="c:\program files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe" [2013-12-10 2279712]
"ShadowPlay"="c:\windows\system32\nvspcap64.dll" [2013-12-10 1100248]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2009-09-30 825184]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
LSP: %SYSTEMROOT%\system32\BfLLR.dll
TCP: DhcpNameServer = 208.67.222.222 208.67.220.220 195.50.140.246 195.50.140.114
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\73fe39bdce5f1075]
"ImagePath"="\SystemRoot\System32\Drivers\73fe39bdce5f1075.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\windows\SysWOW64\regsvr32.exe
c:\users\Adrian\AppData\Roaming\Dropbox\bin\Dropbox.exe
c:\program files (x86)\Common Files\Steam\SteamService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2014-01-08  16:33:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2014-01-08 15:33
.
Vor Suchlauf: 11 Verzeichnis(se), 182.965.112.832 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 183.069.274.112 Bytes frei
.
- - End Of File - - D7C1B8A9E930ACD03CD694D922C7ED88
A36C5E4F47E84449FF07ED3517B43A31
Und die neue FRST ist im Anhang, da wieder zu lang.

aharonov 08.01.2014 17:08
Das Ding wurde nicht erwischt. Wir müssen in die Reperaturoptionen wie folgt:


Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).



Alle Zeitangaben in WEZ +1. Es ist jetzt 00:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131