Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   "Windowssystem blockiert" ... (https://www.trojaner-board.de/105882-windowssystem-blockiert.html)

Buzzd33 06.12.2011 21:01

"Windowssystem blockiert" ...
 
Hallo,
ich habe hier auch einen PC zu stehen mit dem tollen Bildschirm "Windowssystem ist blockiert" und nichts geht mehr.

Habe OTL im abgesicherten Modus ausgeführt, Logfiles anbei.

Ich bitte um Hilfe bei der Beseitigung des Schädlings der das verursacht hat.

Viele Grüße
Basti

markusg 06.12.2011 21:17

hi

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:

:OTL
O4 - HKCU..\Run: [{53241589-7D71-11DE-A015-806D6172696F}] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svhcost.exe (Mozilla Foundation)
:Files
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svhcost.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]

[Reboot]



• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

starte in den normalen modus.
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Buzzd33 06.12.2011 21:35

Hier das Ergebnis-Textfile :

Code:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{53241589-7D71-11DE-A015-806D6172696F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53241589-7D71-11DE-A015-806D6172696F}\ not found.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svhcost.exe moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svhcost.exe not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Administrator
->Flash cache emptied: 470 bytes
 
User: All Users
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 894251 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 78968335 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 338563 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 62208105 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1810509 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 138,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 12062011_214552

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Das zip-File kann ich nicht erstellen da Avira den Zugriff auf die dort enthaltene svhcost.exe blockiert (TR/Ransom.EJ.13)

markusg 06.12.2011 21:38

alles klar dann lassen wir das.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Buzzd33 06.12.2011 22:06

[CODE]
Combofix Logfile:
Code:

ComboFix 11-12-06.01 - Administrator 06.12.2011  22:17:39.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Eigene Dateien\Hotspot Shield\HssIE\HsSIe.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe5.dll
c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe80.dll
c:\windows\CSC\d6
c:\windows\system32\ctfmon(2).exe
c:\windows\system32\muzapp.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-11-06 bis 2011-12-06  ))))))))))))))))))))))))))))))
.
.
2011-11-30 07:40 . 2011-11-30 07:40        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-30 07:39 . 2011-11-30 07:39        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-11 13:00 . 2011-10-23 17:48        36000        ----a-w-        c:\windows\system32\drivers\avkmgr.sys
2011-10-11 13:00 . 2011-10-23 17:48        134344        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-10-11 13:00 . 2009-11-06 20:27        74640        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2011-10-10 14:22 . 2009-07-31 00:39        692736        ----a-w-        c:\windows\system32\inetcomm.dll
2011-09-28 07:06 . 2005-12-24 19:05        604160        ----a-w-        c:\windows\system32\crypt32.dll
2011-09-26 09:41 . 2008-07-29 18:59        614912        ----a-w-        c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2005-12-24 19:05        23040        ----a-w-        c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2005-12-24 19:05        220160        ----a-w-        c:\windows\system32\oleacc.dll
2009-11-17 13:01 . 2010-09-01 19:54        1456640        ----a-w-        c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12        94208        ----a-w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-11-24 94208]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"Sony Ericsson PC Companion"="c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" [2011-07-25 433360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]
"nwiz"="nwiz.exe" [2006-10-31 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-31 86016]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-09 18063872]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"SMSTray"="c:\programme\Samsung\EmoDio\SMSTray.exe" [2009-04-16 479232]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2011-07-07 216064]
"TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2011-07-18 273544]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2011-9-2 24183152]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Belkin Dienstprogramm für kabellose Netzwerke.lnk - c:\programme\Belkin\F5D8053\v6\BelkinWCUI.exe [2011-2-1 1232896]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-8-2 813584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 11:28        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Sony Ericsson\\Update Engine\\Sony Ericsson Update Engine.exe"=
"c:\\Dokumente und Einstellungen\\Administrator\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [23.10.2011 18:48 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.10.2011 18:48 86224]
R2 Belkin Wifi Service;Belkin Wifi Service;c:\programme\Belkin\F5D8053\v6\WifiSvc.exe [01.02.2011 17:03 274432]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [17.08.2009 17:49 27632]
S2 HssWd;Hotspot Shield Monitoring Service;c:\dokumente und einstellungen\Administrator\Eigene Dateien\Hotspot Shield\bin\hsswd.exe -product HSS --> c:\dokumente und einstellungen\Administrator\Eigene Dateien\Hotspot Shield\bin\hsswd.exe -product HSS [?]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [21.11.2009 11:22 90112]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [21.11.2010 11:26 13224]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8192su.sys [01.02.2011 17:03 584832]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [17.08.2009 17:49 86824]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [17.08.2009 17:49 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [17.08.2009 17:49 114600]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [17.08.2009 17:49 108328]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [17.08.2009 17:49 26024]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [17.08.2009 17:49 104616]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [17.08.2009 17:49 109736]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [21.11.2010 10:50 155344]
.
Inhalt des "geplante Tasks" Ordners
.
2011-11-18 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-24 00:29]
.
2011-11-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-12-06 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-839522115-492894223-725345543-500.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-03-29 08:47]
.
2011-12-02 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-839522115-492894223-725345543-500.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-03-29 08:47]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\8wkzxfp5.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-LifeGlobe Goldfish Aquarium 2.0_is1 - c:\programme\Prolific Publishing
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-06 22:20
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(688)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2011-12-06  22:21:04
ComboFix-quarantined-files.txt  2011-12-06 21:21
.
Vor Suchlauf: 8 Verzeichnis(se), 132.899.147.776 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 132.961.234.944 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - 3D845BF33F7AC035859B689149779112

--- --- ---

markusg 07.12.2011 12:20

malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Buzzd33 07.12.2011 19:04

Code:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8328

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.12.2011 19:20:45
mbam-log-2011-12-07 (19-20-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 239781
Laufzeit: 44 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\administrator\Desktop\removewga.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.
c:\system volume information\_restore{404e524d-83a5-40b7-b23b-43777c60800c}\RP450\A0084700.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.

Frag mich nicht woher das removewga.exe herkommt, ist nicht mein PC ...

markusg 07.12.2011 19:36

wie läuft das sysem?

Buzzd33 07.12.2011 22:19

soweit so gut. avira hat aber noch einmal angeschlagen:

C:\System Volume Information\_restore{404E524D-83A5-40B7-B23B-43777C60800C}\RP452\A0085422.exe -> TR/Trash.Gen

markusg 08.12.2011 14:13

ok darum kümmern wir uns noch
ist nur in der systemwiederherstellung

lade den CCleaner standard:
CCleaner Download - CCleaner 3.13.1600
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Buzzd33 08.12.2011 19:54

Schätze ich mal so ein:

Code:

Adobe Audition 1.5        Adobe Systems        30.07.2009        41,4MB        1.5 - notwendig
Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        08.12.2011                10.0.45.2 - notwendig
Adobe Flash Player 11 Plugin        Adobe Systems Incorporated        08.12.2011                11.1.102.55 - notwendig
AMD Processor Driver        AMD        30.07.2009                1.3.2.0053 - notwendig
Apple Application Support        Apple Inc.        06.12.2011        62,9MB        2.1.5 - notwendig
Apple Software Update        Apple Inc.        06.12.2011        2,38MB        2.1.3.127 - notwendig
Audiograbber 1.83 SE        Ghisler        30.07.2009        2,24MB        1.83 - notwendig
Avanquest update        Avanquest Software        21.11.2009                1.20 - unbekannt
Avira Free Antivirus        Avira        08.12.2011                12.0.0.861 - notwendig
AVM FRITZ!Box Dokumentation        AVM Berlin        07.12.2011 - notwendig               
AVM FRITZ!Box Druckeranschluss        AVM Berlin        08.12.2011 - notwendig
Belkin N Wireless USB Adapter Setup        Belkin        01.02.2011                2.20 - notwendig
CCleaner        Piriform        08.12.2011                3.13 - notwendig
DMIView B7.0108.01        Gigabyte        30.07.2009                1.3 - unbekannt
Dropbox        Dropbox, Inc.        08.12.2011                1.1.45 - - notwendig
ElsterFormular        Landesfinanzdirektion Thüringen        07.12.2011                11.5.0.4546 - notwendig
ElsterFormular für Privatanwender        Landesfinanzdirektion Thüringen        08.12.2011                12.3.2.6814p- notwendig
EmoDio        SAMSUNG        01.09.2010                1.0 - notwendig
Falk Navi-Manager        Falk Navigation GmbH        01.09.2010                2.2.2 - notwendig
Foxit Reader 5.1        Foxit Corporation        07.12.2011                5.1.3.1201 - notwendig
High Definition Audio Driver Package - KB888111        Microsoft Corporation                        20040219.000000
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs        Microsoft Corporation        31.07.2009        2,14MB        1.1.1905.1
Java(TM) 6 Update 29        Oracle        07.12.2011        97,1MB        6.0.290
Lexmark Supplies Monitor                07.12.2011                - notwendig
Lexmark Z25-Z35                07.12.2011                - notwendig
Logitech SetPoint        Logitech        19.03.2011                4.80- notwendig
Media Go        Sony        21.11.2010        106,6MB        1.5.312 - notwendig
Microsoft .NET Framework 2.0 Service Pack 2        Microsoft Corporation        13.10.2011        1.499MB        2.2.30729
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU        Microsoft Corporation        08.12.2011        6,30MB        2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2        Microsoft Corporation        25.11.2010        311MB        3.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU        Microsoft Corporation        08.12.2011        17,6MB        3.2.30729
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU        Microsoft Corporation        08.12.2011               
Microsoft .NET Framework 3.5 SP1        Microsoft Corporation        25.11.2010               
Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        08.12.2011                4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        08.12.2011                4.0.30319
Microsoft ActiveSync        Microsoft Corporation        01.09.2010        18,4MB        4.5.5096.0 - notwendig
Microsoft Compression Client Pack 1.0 for Windows XP        Microsoft Corporation        22.10.2011        - unbekannt        1
Microsoft Office Professional Edition 2003        Microsoft Corporation        30.07.2009        415MB        11.0.7969.0 - notwendig
Microsoft User-Mode Driver Framework Feature Pack 1.0        Microsoft Corporation        17.08.2009                - unbekannt
Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        21.11.2010        5,25MB        8.0.59193
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        06.11.2009        10,3MB        9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        21.11.2010        10,2MB        9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        08.07.2011        10,2MB        9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219        Microsoft Corporation        22.10.2011        11,1MB        10.0.40219
Mozilla Firefox 8.0.1 (x86 de)        Mozilla        08.12.2011                8.0.1 - notwendig
MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        08.09.2010        1,42MB        4.20.9870.0
MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        08.09.2010        2,77MB        4.20.9876.0
Nero 7 Demo        Nero AG        30.07.2009        282MB        7.00.2423 - notwendig
Nokia Connectivity Cable Driver                                6.80.5.1 - notwendig
NVIDIA Drivers                07.12.2011                - notwendig
PDF24 Creator 3.3.0        PDF24.org        08.07.2011        - notwendig       
PlayStation(R)Network Downloader        Sony Computer Entertainment Inc.        21.11.2010        0,67MB        2.03.00126 - notwendig
PlayStation(R)Store        Sony Computer Entertainment Inc.        21.11.2010        3,64MB        3.2.11.09227 - notwendig
QuickTime        Apple Inc.        06.12.2011        73,3MB        7.71.80.42 - notwendig
RealPlayer        RealNetworks        08.12.2011                - notwendig
Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        30.07.2009                5.10.0.5755
Roots Knotty Roots                08.12.2011                - notwendig
Sony Ericsson PC Companion 2.02.002        Sony Ericsson        07.12.2011                2.02.002 - notwendig
Sony Ericsson PC Suite 6.009.00        Sony Ericsson        21.11.2009                6.009.00 - - notwendig?
Sony Ericsson Update Engine        Sony Ericsson Mobile Communications AB        08.12.2011                2.11.6.14 - - notwendig?
Spybot - Search & Destroy        Safer Networking Limited        07.12.2011                1.6.2 - notwendig
VLC media player 1.1.11        VideoLAN        08.12.2011                1.1.11 - notwendig
Windows Internet Explorer 8        Microsoft Corporation        07.12.2011                20090308.140743
Windows Media Format 11 runtime                08.12.2011               
Windows Media Player 11                08.12.2011               
Windows XP Service Pack 3        Microsoft Corporation        09.11.2009                20080414.031514
winLAME 2010 beta 1        Michael Fink        08.10.2011        8,14MB        1.0.2010.1 - notwendig
WinRAR Archivierer                08.12.2011                - unnötig (werde ich durch 7zip ersetzen)
Xvid 1.2.2 final uninstall        Xvid team (Koepi)        08.12.2011                1.2 - notwendig


markusg 08.12.2011 20:37

deinstaliere:
Adobe Flash Player 10
Spybot verzichte drauf und scanne von zeit zu zeit mit malwarebytes, ist besser.

bereinige mit dem ccleaner.

Buzzd33 08.12.2011 20:55

hmm, Flash geht glaub ich nicht, da ich weiß das gerne Flash-Spiele gespielt werden.
Spybot habe ich durch Malwarebytes ersetzt.

markusg 08.12.2011 20:56

du sollst ja flash 10 deinstalieren, aktuell ist flash 11 was du ja auch drauf hast.

Buzzd33 08.12.2011 21:24

ups, sorry, erledigt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131