Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash (https://www.trojaner-board.de/102126-bka-virus-blockiert-rechner-verlangt-freischaltung-via-100-euro-u-kash.html)

Gebeutelt 07.08.2011 10:21

BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash
 
Guten Tag,

habe mir einen Virus, Trojaner oder was auch immer eingefangen. Ich habe mir ein Video angeschaut und aufmal wird der Bildschirm weiß und ich soll 100 Euro via U-Kash überweisen, damit mein Desktop wieder freigegeben wird. Ich habe jetzt wieder die Kontrolle über meinen Rechner erlangt, in dem ich im abgesicherten Modus eine Systemwiederherstellung gemacht habe. Habe dann direkt in dem Modus ein Fullscan mit MSE gemacht und S&D. Habe einige Trojaner entfernt. Alle hatten etwas mit Java zu tun. Habe dann den Firefox Ordner gelöscht und neu gestartet. Dann habe ich Malwarebytes durchlaufen lassen. Full-Scan und Flashscan. Habe dann weitere 6 Viren gelöscht. Diese waren aber "harmlos". Waren alles Keylogger versteckt in exe Datein, die ich schon seit Jahren nicht mehr verwendet habe.

Habe jetzt einen Scan mit OTL gemacht. Wäre nett, wenn jemand noch mal drüber schauen könnte, ob jetzt wirklich alles wieder in Ordnung ist. Als nächstes lasse ich nochmal nach Anleitung einen Rootkit-Scanner durchlaufen. Wäre über jede Hilfe dankbar, denn ich möcht mich wieder etwas sicherer fühlen. Traue den Scans meiner Antivirus, Antimalware und co nicht mehr ;)

Vielen Dank im Vorraus.


Mfg der Gebeutelte.

Moin nochmal.

Habe nun einen Scan gemacht. Keine Ahnung was mir das sagen soll. Vielleicht kann hier jemand was damit anfangen.

Mfg Gebeutelt.

cosinus 09.08.2011 13:02

Zitat:

Habe dann direkt in dem Modus ein Fullscan mit MSE gemacht und S&D. Habe einige Trojaner entfernt. Alle hatten etwas mit Java zu tun. Habe dann den Firefox Ordner gelöscht und neu gestartet. Dann habe ich Malwarebytes durchlaufen lassen. Full-Scan und Flashscan. Habe dann weitere 6 Viren gelöscht.
Logs von MSE und MBAM alle komplett nachreichen bitte.

Gebeutelt 09.08.2011 17:49

Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,

hier einmal die Logs von Malwarebytes. Ich weiß nicht wie ich den Verlauf von MSE extrahiere. Weiß das wer?

S&D hatte gar nichts gefunden. Das hat irgendwie noch nie was gefunden ;)

Mfg Gebeutelt

*edit: Verlauf von MSE als .jpeg angehängt

cosinus 09.08.2011 19:13

Zitat:

c:\Recycle.Bin\config.bin (Trojan.Spyeyes)
Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem PC unter dieser verseuchten Windows-Installation?

Gebeutelt 10.08.2011 17:16

Moin,

nein ich mache nichts außer zocken an dem Rechner. Mit E-Banking hab ich nichts am Hut. Ist mir zu unsicher.. scheinbar mit recht ;)

Mfg Gebeutelt

cosinus 10.08.2011 19:13

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT


Gebeutelt 12.08.2011 18:40

Hi,

hier noch ein zweiter Scan mit OTL. Musste ihn Zippen, sonst wäre er zu groß gewesen. Hatte oben schon mal einen eingefügt, aber nicht mit einem Custom-Scan. Habe alle Programme geschlossen gehabt und auch die Virenscanner deaktiviert.

Mfg Gebeutelt

cosinus 12.08.2011 19:38

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://onepieceofbleach.com/"
[2011.05.06 23:07:46 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\XXXXX\AppData\Roaming\mozilla\Firefox\Profiles\g1xbimo4.default\extensions\engine@conduit.com
[2010.04.13 00:03:10 | 000,000,903 | ---- | M] () -- C:\Users\XXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\g1xbimo4.default\searchplugins\conduit.xml
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.03.11 17:35:00 | 000,083,248 | R--- | M] (Reality Pump) - G:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2008.03.11 17:35:00 | 000,000,049 | R--- | M] () - G:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{865f9367-0a09-11e0-a708-00221599a783}\Shell - "" = AutoRun
O33 - MountPoints2\{865f9367-0a09-11e0-a708-00221599a783}\Shell\AutoRun\command - "" = J:\start.exe
O33 - MountPoints2\{c2c9138b-ba36-11dd-85d1-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{c2c9138b-ba36-11dd-85d1-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Autorun.exe -- [2008.03.11 17:35:00 | 000,083,248 | R--- | M] (Reality Pump)
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell - "" = AutoRun
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell\AutoRun\command - "" = H:\autorun.exe
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell\directx\command - "" = H:\DirectX9\dxsetup.exe
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell\setup\command - "" = H:\setup.exe
@Alternate Data Stream - 24 bytes -> C:\Windows:7013C3D98A027985
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Gebeutelt 13.08.2011 12:45

Guten Tag,

habe den Fix durchgeführt und neu gestartet. Beim neustarten hat er dann das Log geöffnet. Habs als Anhang angehängt.

Mfg Gebeutelt

cosinus 15.08.2011 10:48

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Gebeutelt 15.08.2011 15:58

Combofix Logfile:
Code:

ComboFix 11-08-15.07 - XXXXX 15.08.2011  16:07:11.1.4 - x64
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.4094.2481 [GMT 2:00]
ausgeführt von:: c:\users\XXXXX\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Disabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\hpeE47C.dll
F:\install.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-07-15 bis 2011-08-15  ))))))))))))))))))))))))))))))
.
.
2011-08-15 14:12 . 2011-08-15 14:14        --------        d-----w-        c:\users\XXXXX\AppData\Local\temp
2011-08-15 14:12 . 2011-08-15 14:12        --------        d-----w-        c:\users\UpdatusUser\AppData\Local\temp
2011-08-14 08:56 . 2011-07-13 04:53        8578896        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{ABB61767-4D63-46F3-9992-E3DDDC6D3822}\mpengine.dll
2011-08-13 11:33 . 2011-08-13 11:33        --------        d-----w-        C:\_OTL
2011-08-11 14:07 . 2011-03-08 13:05        601424        ------w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{FBE68FB2-150E-48CC-9108-984E7D1029B0}\gapaengine.dll
2011-08-10 20:14 . 2011-08-10 20:14        --------        d-sh--w-        c:\windows\system32\%APPDATA%
2011-08-10 15:53 . 2011-06-06 10:59        2409784        ----a-w-        c:\program files\Windows Mail\OESpamFilter.dat
2011-08-10 15:53 . 2011-06-06 10:59        2409784        ----a-w-        c:\program files (x86)\Windows Mail\OESpamFilter.dat
2011-08-10 15:53 . 2011-06-17 16:16        451072        ----a-w-        c:\windows\system32\winsrv.dll
2011-08-10 15:53 . 2011-07-06 15:49        275456        ----a-w-        c:\windows\system32\drivers\mrxsmb10.sys
2011-08-10 15:53 . 2011-06-17 20:14        1424272        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2011-08-10 15:53 . 2011-06-17 13:56        40448        ----a-w-        c:\windows\system32\drivers\tcpipreg.sys
2011-08-10 15:53 . 2011-06-20 08:45        4699536        ----a-w-        c:\windows\system32\ntoskrnl.exe
2011-08-07 12:46 . 2011-08-07 12:45        627600        ----a-w-        c:\windows\system32\deployJava1.dll
2011-08-07 10:11 . 2011-07-13 04:53        8578896        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
2011-08-07 07:24 . 2011-08-07 07:24        --------        d-----w-        c:\program files (x86)\Apple Software Update
2011-08-07 06:40 . 2011-08-07 06:40        --------        d-----w-        c:\users\XXXXX\AppData\Roaming\Malwarebytes
2011-08-07 06:40 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-08-07 06:40 . 2011-08-07 06:40        --------        d-----w-        c:\programdata\Malwarebytes
2011-08-07 06:40 . 2011-08-07 06:40        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware
2011-08-07 06:40 . 2011-07-06 17:52        25912        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-07-20 17:12 . 2011-05-23 04:10        --------        d-----w-        c:\program files\teamspeak3-server_win64
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-13 04:53 . 2011-03-08 13:06        8578896        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-06-27 19:04 . 2011-05-23 14:40        404640        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-06-02 13:50 . 2011-07-13 14:50        2764288        ----a-w-        c:\windows\system32\win32k.sys
2011-05-21 04:01 . 2011-05-21 04:01        8863336        ----a-w-        c:\windows\system32\nvwgf2umx.dll
2011-05-21 04:01 . 2011-05-21 04:01        7123560        ----a-w-        c:\windows\system32\nvcuda.dll
2011-05-21 04:01 . 2011-05-21 04:01        67176        ----a-w-        c:\windows\system32\OpenCL.dll
2011-05-21 04:01 . 2011-05-21 04:01        6555240        ----a-w-        c:\windows\SysWow64\nvwgf2um.dll
2011-05-21 04:01 . 2011-05-21 04:01        57960        ----a-w-        c:\windows\SysWow64\OpenCL.dll
2011-05-21 04:01 . 2011-05-21 04:01        5301352        ----a-w-        c:\windows\SysWow64\nvcuda.dll
2011-05-21 04:01 . 2011-05-21 04:01        2943592        ----a-w-        c:\windows\system32\nvcuvid.dll
2011-05-21 04:01 . 2011-05-21 04:01        2804328        ----a-w-        c:\windows\SysWow64\nvcuvid.dll
2011-05-21 04:01 . 2011-05-21 04:01        2335848        ----a-w-        c:\windows\SysWow64\nvapi.dll
2011-05-21 04:01 . 2011-05-21 04:01        22286952        ----a-w-        c:\windows\system32\nvoglv64.dll
2011-05-21 04:01 . 2011-05-21 04:01        2212968        ----a-w-        c:\windows\system32\nvcuvenc.dll
2011-05-21 04:01 . 2011-05-21 04:01        2082408        ----a-w-        c:\windows\SysWow64\nvcuvenc.dll
2011-05-21 04:01 . 2011-05-21 04:01        18583144        ----a-w-        c:\windows\system32\nvcompiler.dll
2011-05-21 04:01 . 2011-05-21 04:01        16456296        ----a-w-        c:\windows\SysWow64\nvoglv32.dll
2011-05-21 04:01 . 2011-05-21 04:01        15223912        ----a-w-        c:\windows\system32\nvd3dumx.dll
2011-05-21 04:01 . 2011-05-21 04:01        1496168        ----a-w-        c:\windows\system32\nvdispco6420150.dll
2011-05-21 04:01 . 2011-05-21 04:01        1427048        ----a-w-        c:\windows\system32\nvgenco642090.dll
2011-05-21 04:01 . 2011-05-21 04:01        13206120        ----a-w-        c:\windows\system32\drivers\nvlddmkm.sys
2011-05-21 04:01 . 2011-05-21 04:01        13011560        ----a-w-        c:\windows\SysWow64\nvcompiler.dll
2011-05-21 04:01 . 2011-05-21 04:01        11992680        ----a-w-        c:\windows\SysWow64\nvd3dum.dll
2011-05-21 04:01 . 2011-04-07 21:19        2560616        ----a-w-        c:\windows\system32\nvsvcr.dll
2011-05-21 04:01 . 2011-04-07 21:19        117864        ----a-w-        c:\windows\system32\nvmctray.dll
2011-05-21 04:01 . 2011-04-07 21:19        1016936        ----a-w-        c:\windows\system32\nvvsvc.exe
2011-05-21 04:01 . 2011-04-07 21:19        739432        ----a-w-        c:\windows\system32\easyupdatusapiu64.dll
2011-05-21 04:01 . 2011-04-07 21:19        6300776        ----a-w-        c:\windows\system32\nvcpl.dll
2011-05-21 04:01 . 2011-04-07 21:18        3040872        ----a-w-        c:\windows\system32\nvsvc64.dll
2011-05-21 04:01 . 2009-05-01 00:46        61544        ----a-w-        c:\windows\system32\nvshext.dll
2011-05-21 04:01 . 2008-05-22 05:34        2644584        ----a-w-        c:\windows\system32\nvapi64.dll
2011-05-18 21:07 . 2011-05-18 21:07        74752        ----a-w-        c:\windows\SysWow64\RegisterIEPKEYs.exe
2011-05-18 21:07 . 2011-05-18 21:07        161792        ----a-w-        c:\windows\SysWow64\msls31.dll
2011-05-18 21:07 . 2011-05-18 21:07        76800        ----a-w-        c:\windows\SysWow64\SetIEInstalledDate.exe
2011-05-18 21:07 . 2011-05-18 21:07        86528        ----a-w-        c:\windows\SysWow64\iesysprep.dll
2011-05-18 21:07 . 2011-05-18 21:07        74752        ----a-w-        c:\windows\SysWow64\iesetup.dll
2011-05-18 21:07 . 2011-05-18 21:07        63488        ----a-w-        c:\windows\SysWow64\tdc.ocx
2011-05-18 21:07 . 2011-05-18 21:07        48640        ----a-w-        c:\windows\SysWow64\mshtmler.dll
2011-05-18 21:07 . 2011-05-18 21:07        420864        ----a-w-        c:\windows\SysWow64\vbscript.dll
2011-05-18 21:07 . 2011-05-18 21:07        367104        ----a-w-        c:\windows\SysWow64\html.iec
2011-05-18 21:07 . 2011-05-18 21:07        23552        ----a-w-        c:\windows\SysWow64\licmgr10.dll
2011-05-18 21:07 . 2011-05-18 21:07        152064        ----a-w-        c:\windows\SysWow64\wextract.exe
2011-05-18 21:07 . 2011-05-18 21:07        150528        ----a-w-        c:\windows\SysWow64\iexpress.exe
2011-05-18 21:07 . 2011-05-18 21:07        1427456        ----a-w-        c:\windows\SysWow64\inetcpl.cpl
2011-05-18 21:07 . 2011-05-18 21:07        35840        ----a-w-        c:\windows\SysWow64\imgutil.dll
2011-05-18 21:07 . 2011-05-18 21:07        142848        ----a-w-        c:\windows\SysWow64\ieUnatt.exe
2011-05-18 21:07 . 2011-05-18 21:07        11776        ----a-w-        c:\windows\SysWow64\mshta.exe
2011-05-18 21:07 . 2011-05-18 21:07        110592        ----a-w-        c:\windows\SysWow64\IEAdvpack.dll
2011-05-18 21:07 . 2011-05-18 21:07        101888        ----a-w-        c:\windows\SysWow64\admparse.dll
2011-05-18 21:07 . 2011-05-18 21:07        89088        ----a-w-        c:\windows\system32\RegisterIEPKEYs.exe
2011-05-18 21:07 . 2011-05-18 21:07        222208        ----a-w-        c:\windows\system32\msls31.dll
2011-05-18 21:07 . 2011-05-18 21:07        12288        ----a-w-        c:\windows\system32\mshta.exe
2011-05-18 21:07 . 2011-05-18 21:07        114176        ----a-w-        c:\windows\system32\admparse.dll
2011-05-18 21:07 . 2011-05-18 21:07        91648        ----a-w-        c:\windows\system32\SetIEInstalledDate.exe
2011-05-18 21:07 . 2011-05-18 21:07        76800        ----a-w-        c:\windows\system32\tdc.ocx
2011-05-18 21:07 . 2011-05-18 21:07        49664        ----a-w-        c:\windows\system32\imgutil.dll
2011-05-18 21:07 . 2011-05-18 21:07        48640        ----a-w-        c:\windows\system32\mshtmler.dll
2011-05-18 21:07 . 2011-05-18 21:07        135168        ----a-w-        c:\windows\system32\IEAdvpack.dll
2011-05-18 21:07 . 2011-05-18 21:07        111616        ----a-w-        c:\windows\system32\iesysprep.dll
2011-05-18 21:07 . 2011-05-18 21:07        85504        ----a-w-        c:\windows\system32\iesetup.dll
2011-05-18 21:07 . 2011-05-18 21:07        603648        ----a-w-        c:\windows\system32\vbscript.dll
2011-05-18 21:07 . 2011-05-18 21:07        448512        ----a-w-        c:\windows\system32\html.iec
2011-05-18 21:07 . 2011-05-18 21:07        30720        ----a-w-        c:\windows\system32\licmgr10.dll
2011-05-18 21:07 . 2011-05-18 21:07        165888        ----a-w-        c:\windows\system32\iexpress.exe
2011-05-18 21:07 . 2011-05-18 21:07        160256        ----a-w-        c:\windows\system32\wextract.exe
2011-05-18 21:07 . 2011-05-18 21:07        1492992        ----a-w-        c:\windows\system32\inetcpl.cpl
2011-05-18 21:07 . 2011-05-18 21:07        173056        ----a-w-        c:\windows\system32\ieUnatt.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"AlcoholAutomount"="c:\program files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" [2010-11-21 4608]
"swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-10 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater;d:\games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-12-15 25832]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [x]
R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [x]
R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [x]
R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [x]
R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [x]
R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [x]
R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768]
R4 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 135664]
R4 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 135664]
S0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S2 AAV UpdateService;AAV UpdateService;c:\program files (x86)\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-21 2214504]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-04-07 378472]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 20:19]
.
2011-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 20:19]
.
2011-08-07 c:\windows\Tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job
- c:\program files (x86)\Spybot - Search & Destroy\SDUpdate.exe [2008-11-24 14:31]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RAVCpl64.exe" [2008-05-20 6296064]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page =
mLocal Page =
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_70C5B381380DB17F.dll/cmsidewiki.html
TCP: Interfaces\{1C7F18F4-66FE-49B6-B8D9-1B7B3A01D8C4}: NameServer = 192.168.2.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\XXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\g1xbimo4.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.startup.homepage -
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-Windows Defender - c:\program files (x86)\Windows Defender\MSASCui.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files (x86)\DivX\DivXCodecUninstall.exe
AddRemove-{8ADFC4160D694100B5B8A22DE9DCABD9} - c:\program files (x86)\DivX\DivXPlayerUninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3668465672-3178741497-4134219737-1000\Software\SecuROM\License information*]
"datasecu"=hex:6d,6f,8a,ad,6b,7a,4f,3f,74,09,96,a5,17,e5,e8,6c,be,31,1f,d0,ce,
  79,69,49,5a,ee,da,a2,94,67,1c,79,a2,ea,55,bd,a9,bb,15,1f,8d,55,09,c2,87,02,\
"rkeysecu"=hex:9b,fb,7d,02,84,3a,18,6d,d3,de,ba,23,1f,f4,c7,49
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10t_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10t_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
  00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\ASUS\Six Engine\SixEngine.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-08-15  16:19:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-08-15 14:19
.
Vor Suchlauf: 10 Verzeichnis(se), 14.717.833.216 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 14.783.586.304 Bytes frei
.
- - End Of File - - 7A03EB00D1DCF06A0F5CBA1E803D5051

--- --- ---

Gebeutelt 15.08.2011 16:07

Kleine Anmerkung noch.

Ist das normal, dass ich nach dem Neustart so nen Standart Microsoft-Hintergrund habe, obwohl ich vorher einen normalen Schwarzen Hintergrund hatte?

Mfg Gebeutelt.

cosinus 15.08.2011 18:33

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Gebeutelt 16.08.2011 16:09

Moin,

habe den Scan durchgeführt. Musste ihn leider im abgesicherten Modus machen. Im normalen Modus habe ich sofort einen Bluescreen bekommen, sobald ich auf Scan geklickt habe. Anbei das Log.


Mfg Gebeutelt.

cosinus 16.08.2011 18:33

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131