Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows Security Center - Pc gesperrt (https://www.trojaner-board.de/111455-windows-security-center-pc-gesperrt.html)

Irenicus 14.03.2012 13:49
Windows Security Center - Pc gesperrt
 
Hallo,

ich hab auch diesen "Windows Securtiy Center" -Virus, von wegen mein System wäre gesperrt und ich müsste 100 Euro bezahlen...

Ich bin jetzt hier auf dieses Forum gestossen, habe OTL.exe runtergeladen. und die beiden Files Logs hochgeladen

Ich hoffe damit könnt ihr mir weiterhelfen.

Vielen Dank
Irenicus

markusg 14.03.2012 14:02
hi,
und was macht man, wenn was zu groß ist?
teilen, packen etc. :-)

Irenicus 14.03.2012 14:04
ähm ja mach ich gleich.

Irenicus 14.03.2012 14:12
So nun passt es...

markusg 14.03.2012 14:25
hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O4 - HKCU..\Run: [vasja] C:\Dokumente und Einstellungen\Henry Eberlein\Lokale Einstellungen\Temp\mor.exe (2hotspot.com)
 :Files
C:\Dokumente und Einstellungen\Henry Eberlein\Lokale Einstellungen\Temp\mor.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Irenicus 14.03.2012 14:42
Zitat:
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\vasja deleted successfully.
C:\Dokumente und Einstellungen\Henry Eberlein\Lokale Einstellungen\Temp\mor.exe moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: Henry Eberlein
->Flash cache emptied: 65864 bytes

User: Henry Eberlein.DÜLKEN

User: LocalService
->Flash cache emptied: 405 bytes

User: NetworkService

User: postgres

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Henry Eberlein
->Temp folder emptied: 1267275179 bytes
->Temporary Internet Files folder emptied: 474751415 bytes
->Java cache emptied: 24082183 bytes
->FireFox cache emptied: 120779046 bytes
->Google Chrome cache emptied: 71538157 bytes
->Flash cache emptied: 0 bytes

User: Henry Eberlein.DÜLKEN
->Temp folder emptied: 4 bytes
->Temporary Internet Files folder emptied: 205592 bytes
->FireFox cache emptied: 156679 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2976759 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 724061 bytes

User: postgres
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 23293831 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7753238 bytes
RecycleBin emptied: 324128 bytes

Total Files Cleaned = 1.902,00 mb


OTL by OldTimer - Version 3.2.37.0 log created on 03142012_143624

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Virus ist scheinbar erst mal weg..

markusg 14.03.2012 19:09
hi
danke für den upload
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Irenicus 14.03.2012 23:03
hier ist das log
Combofix Logfile:
Code:
ComboFix 12-03-14.01 - Henry Eberlein 14.03.2012  22:46:06.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1150 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Henry Eberlein\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\AntiVirus_AntiSpyware_2011
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\.lock
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\__db.001
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\__db.002
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\__db.003
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\__db.004
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\__db.005
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\__db.006
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\addr.dat
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\blk0001.dat
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\blkindex.dat
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\database\log.0000000070
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\db.log
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\debug.log
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Bitcoin\wallet.dat
c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\dll
c:\dokumente und einstellungen\Henry Eberlein\WINDOWS
C:\MediaTube_ver1.1573.1.exe
C:\Record.Cl
c:\record.cl\C76C97729B30633
C:\StarCodec_ver1.5897.0.exe
C:\Thumbs.db
C:\update.exe
c:\windows\dasetup.log
c:\windows\IsUn0407.exe
c:\windows\iun6002.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\drivers\FSC__PI__LIFEBOOK E8210__FUJITSU_FJNB1BF__Default System BIOS_FSC - 1210000_Version 1.21 .MRK
c:\windows\system32\ui
c:\windows\system32\ui\BANNER\TMP\LoadingImgOpt.txt
c:\windows\system32\UNWISE.EXE
C:\wmcodec_update.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-02-14 bis 2012-03-14  ))))))))))))))))))))))))))))))
.
.
2012-03-14 13:39 . 2012-03-14 13:39        6429        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS
2012-03-14 13:39 . 2012-03-14 13:39        63115        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS
2012-03-14 13:39 . 2012-03-14 13:39        4599        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS
2012-03-14 13:39 . 2012-03-14 13:39        9310        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXTBOX.JS
2012-03-14 13:39 . 2012-03-14 13:39        8646        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TILEBOX.JS
2012-03-14 13:39 . 2012-03-14 13:39        8613        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSER.JS
2012-03-14 13:39 . 2012-03-14 13:39        6910        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERCOMM.JS
2012-03-14 13:39 . 2012-03-14 13:39        5927        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXT.JS
2012-03-14 13:39 . 2012-03-14 13:39        1651        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\QUERYSTRING.JS
2012-03-14 13:39 . 2012-03-14 13:39        8288        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\IMAGE.JS
2012-03-14 13:39 . 2012-03-14 13:39        6208        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LINK.JS
2012-03-14 13:39 . 2012-03-14 13:39        18541        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LOCALIZATION.JS
2012-03-14 13:38 . 2012-03-14 13:38        8782        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\BUTTON.JS
2012-03-14 13:38 . 2012-03-14 13:38        7271        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\CHECKBOX.JS
2012-03-14 13:38 . 2012-03-14 13:38        51852        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\EXTERNALWRAPPER.JS
2012-03-14 13:38 . 2012-03-14 13:38        23327        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\COMBOBOX.JS
2012-03-14 13:38 . 2012-03-14 13:38        20719        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\DIVWRAPPER.JS
2012-03-14 13:36 . 2012-03-14 13:44        --------        d-----w-        C:\_OTL
2012-03-13 19:19 . 2012-03-13 19:20        --------        d-----w-        c:\dokumente und einstellungen\Henry Eberlein\Logitech
2012-03-13 19:19 . 2012-03-13 19:19        --------        d-----w-        c:\programme\Gemeinsame Dateien\Remote Control Software Common
2012-03-13 19:19 . 2012-03-13 19:19        --------        d-----w-        c:\programme\Logitech
2012-03-13 19:18 . 2012-03-13 19:18        --------        d-----w-        c:\programme\Gemeinsame Dateien\Remote Control USB Driver
2012-03-13 19:17 . 2006-02-07 14:45        757760        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\50\Intel32\iKernel.dll
2012-03-13 19:17 . 2006-02-07 14:40        204800        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\50\Intel32\iuser.dll
2012-03-13 19:17 . 2006-02-07 14:40        69715        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\50\Intel32\ctor.dll
2012-03-13 19:17 . 2006-02-07 14:40        274432        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\50\Intel32\iscript.dll
2012-03-13 19:17 . 2005-11-13 22:19        5632        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\50\Intel32\DotNetInstaller.exe
2012-03-13 19:17 . 2012-03-13 19:17        200836        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\50\Intel32\iGdi.dll
2012-03-13 19:17 . 2012-03-13 19:17        331908        ----a-w-        c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\11\50\Intel32\setup.dll
2012-03-13 19:17 . 2012-03-13 19:17        --------        d-----w-        c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\InstallShield
2012-02-25 17:25 . 2012-02-25 17:31        239168        ----a-w-        c:\windows\system32\drivers\dtsoftbus01.sys
2012-02-18 22:17 . 2012-01-11 19:06        3072        ------w-        c:\windows\system32\iacenc.dll
2012-02-18 22:17 . 2012-01-11 19:06        3072        ------w-        c:\windows\system32\dllcache\iacenc.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-18 22:12 . 2011-11-09 09:32        137416        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2012-01-12 17:20 . 2006-01-30 19:41        1860096        ------w-        c:\windows\system32\win32k.sys
2011-12-21 12:18 . 2010-07-09 22:15        428088        ----a-w-        c:\windows\system32\drivers\sptd.sys
2011-12-17 19:43 . 2006-01-30 19:41        916992        ----a-w-        c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2006-01-30 19:40        43520        ------w-        c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2006-01-30 19:40        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2006-01-30 19:40        385024        ------w-        c:\windows\system32\html.iec
2012-02-18 23:05 . 2011-11-10 22:44        134104        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"G6FTP Server Tray Monitor"="c:\programme\Gene6 FTP Server\G6FTPTray.exe" [2005-03-07 77312]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2011-11-10 3514176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-07 16010240]
"SSUtility"="c:\addon\Fujitsu\SSUtility\FJSSDMN.exe" [2006-07-22 233472]
"PSUtility"="c:\addon\Fujitsu\PSUtility\TrayManager.exe" [2006-07-05 118784]
"LoadFUJ02E3"="c:\programme\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-04-20 73728]
"IndicatorUtility"="c:\addon\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-08-09 81920]
"LoadFujitsuQuickTouch"="c:\addon\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 353792]
"LoadBtnHnd"="c:\programme\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 61440]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"AirCardEnabler"="c:\programme\Sierra Wireless Inc\Network Adapter Manager\Network Adapter Manager.exe" [2005-10-12 180224]
"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2006-10-12 304640]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-19 258512]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Henry Eberlein\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)
"TaskbarNoNotification"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FJWSEL]
2006-06-29 11:45        32768        ------w-        c:\windows\system32\FJWSWNP.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
2006-06-02 13:04        32768        ------w-        c:\windows\system32\PSUWNP.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37        843712        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-06-06 10:55        35736        ----a-w-        c:\programme\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2006-06-29 09:32        89541        ----a-w-        c:\windows\AGRSMMSG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-02-01 17:40        136176        ----atw-        c:\dokumente und einstellungen\Henry Eberlein\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"O2Flash"=2 (0x2)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"HRService"=3 (0x3)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe"
"Antanda"=c:\dokume~1\HENRYE~1\LOKALE~1\Temp\InstallValidator.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"CanonMyPrinter"=c:\programme\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"ISUSPM Startup"=c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"PAC7302_Monitor"=c:\windows\PixArt\PAC7302\Monitor.exe
"AppleSyncNotifier"=c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\Henry Eberlein\\Desktop\\eclipse\\eclipse.exe"=
"c:\\Dokumente und Einstellungen\\Henry Eberlein\\Desktop\\eclipse\\eclipsec.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Dokumente und Einstellungen\\Henry Eberlein\\Desktop\\mIRC\\mirc.exe"=
"c:\\Spiele\\PES\\pes2011.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Spiele\\Blood Bowl Legendary Edition\\BB_LE.exe"=
"c:\\Spiele\\Blood Bowl Legendary Edition\\Autorun\\Exe\\Autorun.exe"=
"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"c:\\Programme\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=
.
R0 FJGSDisk;G-Sensor Application Filter Driver;c:\windows\system32\drivers\FJGSDisk.sys [09.07.2007 15:57 7168]
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [08.07.2005 10:06 34176]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [23.09.2005 03:48 28544]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 13:46 63352]
R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [09.11.2011 10:32 36000]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [25.02.2012 18:25 239168]
R1 SLEE_16_DRIVER;Steganos Live Encryption Engine 16 [Driver];c:\windows\system32\drivers\sleen16.sys [11.10.2007 11:24 79104]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.11.2011 10:32 86224]
R2 Apache2.2;Apache2.2;c:\xamp\xampp\apache\bin\httpd.exe [24.11.2010 12:01 29416]
R2 EnterpriseDBApachePHP;EnterpriseDB ApachePHP;c:\programme\PostgreSQL\EnterpriseDB-Apache\Php\apache\bin\httpd.exe [21.12.2011 19:24 18432]
R2 G6FTPServer;Gene6 FTP Server;c:\programme\Gene6 FTP Server\G6FTPServer.exe [04.04.2005 10:42 423424]
R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [24.09.2006 21:22 11776]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [15.06.2007 07:33 5632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [15.06.2007 07:33 4864]
R3 SWUMX00;Sierra Wireless USB MUX Driver (UMTS00);c:\windows\system32\drivers\swumx00.sys [15.06.2007 07:33 61312]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [24.09.2006 21:23 3584]
S1 ntiomin;ntiomin; [x]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 12:16 130384]
S2 IBeamX2;InnoBeamer USB Driver (IBeamX2.sys);c:\windows\system32\drivers\IBeamX2.sys [07.12.2009 21:57 31744]
S2 postgresql-9.1;postgresql-9.1 - PostgreSQL Server 9.1;C:/Programme/PostgreSQL/9.1/bin/pg_ctl.exe runservice -N "postgresql-9.1" -D "C:/Programme/PostgreSQL/9.1/data" -w --> C:/Programme/PostgreSQL/9.1/bin/pg_ctl.exe runservice -N postgresql-9.1 [?]
S2 RoxLiveShare10;LiveShare P2P Server 10;"c:\programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe" --> c:\programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe [?]
S3 libusb0;LibUsb-Win32 - Kernel Driver 08/27/2006, 0.1.12.0;c:\windows\system32\DRIVERS\libusb0.sys --> c:\windows\system32\DRIVERS\libusb0.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 PTLIBUSB0;PRUFTECHNIK-USB-WIN-KERNEL DRIVER 02/25/2008, 1.12.0.1;c:\windows\system32\drivers\PTLIBUSB0.SYS [27.07.2008 13:11 22144]
S3 SmsBdaT;Cinergy Piranha - DVB-T BDA;c:\windows\system32\drivers\SmsBdaT.sys [06.03.2008 21:22 15488]
S3 SmsDvbR;Cinergy Piranha - Digital Video Router;c:\windows\system32\drivers\SmsDvbR.sys [06.03.2008 21:22 24448]
S3 SmsUsbG;Cinergy Piranha - USB Generic Driver;c:\windows\system32\drivers\SmsUsbG.sys [06.03.2008 21:22 14080]
S3 SWNC8U00;Sierra Wireless MUX NDIS Driver (UMTS00);c:\windows\system32\drivers\SWNC8U00.sys [15.06.2007 07:33 81408]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 12:16 753504]
S4 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;"c:\programme\Haufe\iDesk\iDeskService\iDeskService.exe" --> c:\programme\Haufe\iDesk\iDeskService\iDeskService.exe [?]
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2920193393-1774369990-294710242-1005Core.job
- c:\dokumente und einstellungen\Henry Eberlein\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-02-01 17:40]
.
2012-03-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2920193393-1774369990-294710242-1005UA.job
- c:\dokumente und einstellungen\Henry Eberlein\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-02-01 17:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://vshare.toolbarhome.com/?hp=df
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: PrxerDrv.dll
TCP: DhcpNameServer = 10.0.1.1
TCP: Interfaces\{608E8A17-460D-46FF-B52F-C5329EB3D7D1}: NameServer = 8.8.8.8
TCP: Interfaces\{76C25778-03C7-409E-9979-913DA1017494}: NameServer = 8.8.8.8
FF - ProfilePath - c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\Mozilla\Firefox\Profiles\ft66vk75.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2412158&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://vshare.toolbarhome.com/?hp=df
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2412158&q=
FF - prefs.js: network.proxy.ftp - yamato.exil-net.de
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - yamato.exil-net.de
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.http - yamato.exil-net.de
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - yamato.exil-net.de
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - yamato.exil-net.de
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-AntiVirus_AntiSpyware_2011 - c:\dokumente und einstellungen\Henry Eberlein\Anwendungsdaten\AntiVirus_AntiSpyware_2011\AntiVirus AntiSpyware.exe
HKLM-Run-Ddexaduj - (no file)
Notify-OdysseyClient - (no file)
MSConfigStartUp-bipro - c:\windows\$XNTUninstall643$\ppjxq.dll
MSConfigStartUp-Ddexaduj - c:\windows\aguvikikikodu.dll
MSConfigStartUp-Jrixod - c:\windows\itrintm.dll
MSConfigStartUp-YDZ1QVAGOJ - c:\dokume~1\HENRYE~1\LOKALE~1\Temp\Rq5.exe
AddRemove-Circus Grande - c:\spiele\Circus Grande\ISSetup.exe
AddRemove-InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E} - c:\progra~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{70B6A483-F815-4879-9AA4-3DCE9BCC61A0} - c:\programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe
AddRemove-InstallShield_{79821CAD-999C-443D-B420-96F914C84E27} - c:\programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe
AddRemove-InstallShield_{BF91B0A2-52DC-4230-B44F-7C34FA861D41} - c:\programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe
AddRemove-Macromedia Shockwave Player - c:\windows\system32\Macromed\SHOCKW~2\UNWISE.EXE
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-14 22:54
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-9.1]
"ImagePath"="C:/Programme/PostgreSQL/9.1/bin/pg_ctl.exe runservice -N \"postgresql-9.1\" -D \"C:/Programme/PostgreSQL/9.1/data\" -w"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-9.1]
"ImagePath"="C:/Programme/PostgreSQL/9.1/bin/pg_ctl.exe runservice -N \"postgresql-9.1\" -D \"C:/Programme/PostgreSQL/9.1/data\" -w"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2920193393-1774369990-294710242-1005\Software\SecuROM\License information*]
"datasecu"=hex:c4,21,64,7c,2f,63,de,d1,f6,45,dc,45,80,57,9d,36,b4,61,71,87,26,
  58,cb,65,27,d0,74,7c,d3,41,bb,1a,4f,34,37,49,0f,ef,66,13,21,ab,16,d3,8a,f4,\
"rkeysecu"=hex:de,0e,d4,ee,0f,53,c1,34,54,7b,a1,ca,30,50,2a,60
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\*–€|ÿÿÿÿ;•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
"OODEFRAG11.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(116)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\FJWSWNP.dll
c:\windows\system32\PSUWNP.dll
.
Zeit der Fertigstellung: 2012-03-14  23:01:12
ComboFix-quarantined-files.txt  2012-03-14 22:01
.
Vor Suchlauf: 14 Verzeichnis(se), 47.287.021.568 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 47.431.876.608 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - B01AA4532D7E36803D58397AC8BF8E1A[/QUOTE]
--- --- ---

markusg 15.03.2012 11:46
hi
nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

Irenicus 15.03.2012 13:21
für Einkäufe

markusg 15.03.2012 17:30
hier sind schon einige infektionen am werk gewesen.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Irenicus 15.03.2012 22:47
1. Das mit dem Windows neu aufsetzen ist gerade nicht so einfach, da ich leider die für den Laptop vorgesehene Installations-CD nicht mehr habe, (in den nächsten zwei wochen genauenommen gar keine Win-CD) und ich auch derzeit keinen Brenner besitze um die entsprechende Raid-Treiber auf ne Win-CD zu brennen.

2. formatieren? prinzipiell würde ich das bei der neuen Win-Xp-Installation machen... und dann geht das ja über den XP-Installationsvorgang

3. anleitung nehm ich gerne

4./5. geht klar (PWs hab ich übe einen anderen Pc bereits geändert)

6. Onlinebanking mach ich eh nicht.

Ich würde mich dann wohl in zwei wochen nochmal melden.

markusg 16.03.2012 12:55
genau,
falls ichs übersehe, kurze private nachicht an mich


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19