Trojaner-Board - Böser Hacker

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Böser Hacker (https://www.trojaner-board.de/86182-boeser-hacker.html)

So und hier der Log:

Sophos Anti-Rootkit Version 1.5.0 (c) 2009 Sophos Plc
Started logging on 18.05.2010 at 17:28:54
User "****" on computer "****-PC"
Windows version 6.0 SP 2.0 Service Pack 2 build 6002 SM=0x300 PT=0x1 Win32
Info: Starting process scan.
Info: Starting registry scan.
Info: Starting disk scan of C: (NTFS).
Hidden: file C:\Program Files\eRightSoft\SUPER\mencoder\mencoder.exe
Hidden: file C:\Program Files\eRightSoft\SUPER\mencoder\mplayer.exe
Hidden: file C:\Program Files\KONAMI\Pro Evolution Soccer 2010\pes2010.exe
Hidden: file C:\Windows\System32\drivers\sptd.sys
Hidden: file C:\Users\****\AppData\Roaming\SecuROM\UserData\???????????p?????????
Hidden: file C:\Users\****\AppData\Roaming\SecuROM\UserData\???????????p?????????
Hidden: file C:\Windows\System32\config\RegBack\SOFTWARE.LOG1
Stopped logging on 18.05.2010 at 18:58:58

Hattest Du mal SecuRom installiert? Im OTL-Log finde ich es nicht, also müsste es bereits deinstalliert sein.
Der Rest ist unauffällig.

Bitte jetzt einen Scan mit SUPERAntiSpyware machen.

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/19/2010 at 00:36 AM

Application Version : 4.37.1000

Core Rules Database Version : 4951
Trace Rules Database Version: 2763

Scan type : Complete Scan
Total Scan Time : 02:06:43

Memory items scanned : 765
Memory threats detected : 0
Registry items scanned : 8170
Registry threats detected : 2
File items scanned : 170402
File threats detected : 6

Adware.Tracking Cookie
C:\Users\****\AppData\Roaming\Microsoft\Windows\Cookies\****@bs.serving-sys[2].txt
C:\Users\****\AppData\Roaming\Microsoft\Windows\Cookies\****@serving-sys[1].txt
C:\Users\****\AppData\Roaming\Microsoft\Windows\Cookies\****@weborama[2].txt
C:\Users\****\AppData\Roaming\Microsoft\Windows\Cookies\****@atdmt[1].txt

Rogue.Agent/Gen
HKLM\SOFTWARE\06775530
HKLM\SOFTWARE\06775530#FirstRun

Trojan.VXGame-Variant/D
C:\M.U.G.E.N\CHARS\MEPHISTO\CHARSFFDTOW.EXE

Trojan.Agent/Gen-Krpytik
C:\PROGRAM FILES\ELECTRONIC ARTS\NEED FOR SPEED SHIFT\RLD-NFSS.EXE

Bei den letzten beiden Einträgen zweifle ich daran, dass es wirklich Malware ist.

Abschließend bitte einen Online-Scan durchführen:

ESET Online Scanner

Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
Button "ESET Online Scanner" drücken.
Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User müssen das Installieren eines ActiveX Elements erlauben.
Einen Haken bei "Remove found threads" und "Scan archives" machen.
Start drücken.
Der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
IE-User zusätzlich: mit HJT folgenden Eintrag fixen:
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control)

Hier der Eset Log :

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=82921c64bbfd754aa91e69882c47d157
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-05-20 02:49:52
# local_time=2010-05-20 04:49:52 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1024 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 26002 16649161 18792 0
# compatibility_mode=5892 16776573 100 100 165332 111837025 0 0
# compatibility_mode=8192 67108863 100 0 102 102 0 0
# scanned=177327
# found=8
# cleaned=8
# scan_time=19495
C:\Program Files\Unlocker\eBay_shortcuts_1016.exe a variant of Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
C:\Program Files\YouTube Downloader Toolbar\SearchSettings.dll Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Program Files\YouTube Downloader Toolbar\SearchSettings.exe Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Program Files\YouTube Downloader Toolbar\WidgiHelper.exe Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Program Files\YouTube Downloader Toolbar\IE\1.0\youtubedownloaderToolbarIE.dll Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\3256-53569c2d a variant of Java/TrojanDownloader.Agent.NAN trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\58590265-3fec40c9 a variant of Java/TrojanDownloader.Agent.NAA trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Users\****\Desktop\Spiele isos\unlocker1.8.7.exe a variant of Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C

Hi,

so, damit dürften wir durch sein.

Ein paar abschließende Maßnahmen:

Systemwiederherstellung (SWH) leeren
Die Systemwiederherstellung (SWH) enthält ein Backup Deiner Programme und kann auch infizierte Dateien gesichert haben. Setze die SWH daher bitte zurück:

Rechtsklick auf Arbeitsplatz > Eigenschaften > Tab Systemwiederherstellung
Setze einen Haken bei Systemwiederherstellung deaktivieren und klicke auf Übernehmen.
Beantworte den folgenden Dialog, ob Du die SWH wirklich deaktivieren willst, mit Ja.

Entferne danach wieder den Haken bei Systemwiederherstellung deaktivieren, klicke auf Übernehmen und anschließen auf OK.

Die SWH funktioniert nun wieder und hat einen neuen SWH-Punkt erstellt.

Adobe Reader aktuell halten

Beachte bitte, dass Du immer den aktuellen Acrobat Reader verwendest. Alte Versionen stellen Sicherheitsrisiken beim Surfen dar. Hier findest Du immer die aktuelle Version zum Download:

Adobe - Adobe Reader herunterladen - Alle Versionen

Als Alternative kann ich Dir den kostenlosen Foxit Reader empfehlen - dieser ist viel schlanker als der Adobe Reader und startet erheblich schneller.

Java updaten

Du solltest sicherstellen, dass Dein Java aktuell ist. Ältere Java-Versionen stellen große Sicherheitslücken beim Surfen dar. Besuche diese Seite um Dein Java auf die neueste Version upzudaten:

Java Download - Sun Microsystems

Halte Dein Windows aktuell

Auch für die Windows-Software gilt: Veraltete Versionen stellen große Sicherheitslücken beim Surfen dar.
Microsoft veröffentlicht Updates, um diese Sicherheitslücken zu schließen. Besuche bitte des Öfteren die Microsoft Update Seite um auf dem aktuellen Stand zu bleiben.

Wenn sonst keine Probleme mehr auftreten und Du keine Fragen mehr hast, bist Du hiermit "entlassen" :daumenhoc

Danke das du dir die Zeit genommen hast mir zu helfen :dankeschoen: