Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Cybercrime investigation department MALWARE (https://www.trojaner-board.de/119468-cybercrime-investigation-department-malware.html)

Tulbi 14.07.2012 12:00
Cybercrime investigation department MALWARE
 
Hallo

Ich bin diesem Virus aufgesessen:
hxxp://www.cybercrime.admin.ch/content/kobik/de/home/dokumentation/informationen/2012-06-29.html

Nun würde ich den gerne (mit eurer Hilfe) entfernen, kann aber momentan auf nichts zugreiffen. (Task-Manager lässt sich nicht öffnen und das "Windows-Logo" funktioniert auch nicht.)

Danke für eure Hilfe

Tulbi

Der Link scheint nicht zu funktionieren.

Man kann ihn aber über Google -> cyber crime investigation department -> zweiter Link finden.

t'john 15.07.2012 10:50
:hallo:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Tulbi 15.07.2012 15:16
Hallo t`john

Danke vielmals für deine Hilfe.

Nachdem REATOGO-X-PE geladen wurde und auch noch mit einem vollen Ladenbalke ca. 5-10min nichts geschah kam diese Fehlermeldung:

"A problem has been detected and windows has been shut down to prevent damage. etc."
Die Meldung sagte auch noch, dass ich den Computer für Viren und/ oder neue Harddrives checken soll.
Die Fehlermeldung war:
" *** STOP: 0x0000007B (0xF8DA528, 0xc0000034, 0x00000000, 0x00000000)"

Danke für die Hilfe

Ich habe heute nocheinmal versucht die CD zu gebrauchen.

Diesmal kam eine andere Fehlermeldung...
nvrd325.SY_ habe einen Fehler (Error (32768)) ausgelöst.

und dann die "Line" sei:
d:/xpsrtm/base/boot/setup/setup.c (das "/" ist natürlich gespiegelt)

t'john 19.07.2012 14:28
Sorry, Dein Thread ist bei mir etwas untergegangen.

Stell mal im BIOS bei der Festplatte den Modus von AHCI auf IDE (oder umgekehrt) ein.
Danach versuche es bitte nochmal.

Tulbi 19.07.2012 15:44
hallo t`John

Ich bin ins BIOS (bei mir wird es glaub setup utility genannt!?) und ging zur festplatte (HDD!?) und probierte mit "enter" irgendwie reinzukommen (so nach anleitung unten am Screen) aber die Taste hatte keine Wirkung (ich kam nicht in ein "Menu" oder so...)

Ich bin nicht so bewandert und weiss nicht wie ich von IDE zu AHCI oder umgekehrt gehen soll.

Danke

t'john 19.07.2012 18:12
Liste der Anhänge anzeigen (Anzahl: 1)
Hier ein Beispielbild:

PCH SATA Control Mode auf IDE stellen.

Anhang 38298

Willst du nochmal im BIOS suchen?

Tulbi 19.07.2012 19:47
Vielleicht komme ich auch nicht ins BIOS:

How do I enter the Computer BIOS? - EaseUS Disk Copy

Ich habe ein Toshiba Satellite und wenn ich während der Motherboard-Anzeige ganz am Anfang F2 drücke komme ich ins setup utility aber kann definitiv auf fast nichts zugreifen (ausser Zeit, Datum etc.)

Lg

t'john 19.07.2012 20:45
Kannst du die CD mal an einem anderen Rechner probieren (um auszuschliessen, dass die CD fehlerhaft ist)

Tulbi 19.07.2012 21:17
sorry bei dem anderen PC weiss ich nicht wie ich von CD aus boote...
beim zweiten PC komme ich mit "delete" ins BIOS setup utility...
auf dem Laptop komme ich zwar auch in ein setup utility es wird aber nie von BIOS gesprochen.

t'john 19.07.2012 21:18
hilft dir das weiter: http://www.trojaner-board.de/81857-c...cd-booten.html

Tulbi 19.07.2012 21:51
Hallo T`John

Nein leider nicht...

Die CD ist aber wahrscheinlich OK, oder?
Die Fehlermeldung richten sich jedenfalls immer auf den PC und nicht die CD...
Und die Fehlermeldung kommt ja nur ganz am Ende des Reatogo-Starts...

Danke

ich habe eine neue Idee...

Wenn ich den Computer starte, ist und mich als Benutzer einlogge habe ich so 5-10 sekunden ein normaler PC und kann auch Zbsp. ins Internet gehen.

Vielleicht wäre es möglich in dieser Zeit irgendwie eine Massnahme zu ergreiffen?

Liebe Grüsse

Anmerkung: Habe nun in diesen 5-10Sekunden der Avira Antivir gestartet und der Virus blockierte nichts mehr. Konnte nun OTL runterladen und mache momentan ein scan...

t'john 19.07.2012 22:47
Das haettest du vorher sagen koennen ;)

Das Trennen der Internet Verbindung haette gereicht.

Melde dich mit den Logs wieder ;)

Tulbi 19.07.2012 22:56
Das sind die beiden Dateien.

Und sorry, dass ich es dir erst jetzt sagte...
Bis gestern kam aber nach dem einloggen sofort der Virus.

Danke für deine Hilfe und anbei die Logs

t'john 19.07.2012 22:59
Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Ersetze die *** Sternchen wieder in den Benutzernamen zurück!
  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
PRC - [2012.04.30 11:57:42 | 000,067,072 | ---- | M] () -- C:\Program Files (x86)\Sony\Sony PC Companion\PCCompanionInfo.exe
IE:64bit: - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKCU\..\SearchScopes,DefaultScope =
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..extensions.enabledItems: calendar-timezones@mozilla.org:0.1.2008d
FF - prefs.js..extensions.enabledItems: default-palette@celtx.com:1.0
FF - prefs.js..extensions.enabledItems: emoticons-msn-smileys@m513901.de:0.1
FF - prefs.js..extensions.enabledItems: inspector@mozilla.org:2.0.0
FF - prefs.js..extensions.enabledItems: messagestyle-blackened@addons.instantbird.org:0.9
FF - prefs.js..extensions.enabledItems: messagestyle-depth@addons.instantbird.org:1.1
FF - prefs.js..extensions.enabledItems: messagestyle-minimal20@addons.instantbird.org:1.5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O32 - HKLM CDRom: AutoRun - 1
[2012.07.16 11:20:51 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad
[2012.07.14 12:52:42 | 000,001,891 | ---- | M] () -- C:\Users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012.07.14 12:52:42 | 004,503,728 | ---- | C] () -- C:\ProgramData\go_0molg.pad
[2012.07.14 12:52:42 | 000,001,891 | ---- | C] () -- C:\Users\******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Tulbi 19.07.2012 23:29
Zitat:
All processes killed
========== OTL ==========
No active process named PCCompanionInfo.exe was found!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: calendar-timezones@mozilla.org:0.1.2008d removed from extensions.enabledItems
Prefs.js: default-palette@celtx.com:1.0 removed from extensions.enabledItems
Prefs.js: emoticons-msn-smileys@m513901.de:0.1 removed from extensions.enabledItems
Prefs.js: inspector@mozilla.org:2.0.0 removed from extensions.enabledItems
Prefs.js: messagestyle-blackened@addons.instantbird.org:0.9 removed from extensions.enabledItems
Prefs.js: messagestyle-depth@addons.instantbird.org:1.1 removed from extensions.enabledItems
Prefs.js: messagestyle-minimal20@addons.instantbird.org:1.5 removed from extensions.enabledItems
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\ProgramData\go_0molg.pad moved successfully.
File C:\Users\***.***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
File C:\ProgramData\go_0molg.pad not found.
File C:\Users\***.***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
========== FILES ==========
< ipconfig /flushdns /c >
No captured output from command...
C:\Users\******\Downloads\cmd.bat deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: ******
->Temp folder emptied: 303988476 bytes
->Temporary Internet Files folder emptied: 14843835 bytes
->Java cache emptied: 3330090 bytes
->FireFox cache emptied: 73629838 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 451452 bytes

User: ***Hõberli

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 298279220 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 66818 bytes
RecycleBin emptied: 6112653887 bytes

Total Files Cleaned = 6.492,00 mb


[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Gast
->Flash cache emptied: 0 bytes

User: Public

User: ******
->Flash cache emptied: 0 bytes

User: ***Hõberli

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.54.0 log created on 07202012_002123

Files\Folders moved on Reboot...
C:\Users\******\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\******\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...
Habe alles wie beschrieben gemacht...
Bei Avira habe ich einfach den Echtzeitscanner ausgeschaltet, hat das genügt?

Danke vielmals für deine Hilfe!!!

t'john 20.07.2012 09:50
Startet der PC normal?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

Tulbi 20.07.2012 12:12
Der PC startet normal bis auf:
- am Anfang kommt ein Popup Fenster (mit dem Namen RunDL, oder ähnlich), dass eine Datei (in C:/temp data, oder ähnlich, gespeichert) nicht geöffnet werden konnte.
Ich könnte dir noch genauere Angaben machen.

Malwarbytes-Bericht folgt:

Zitat:
Malwarebytes Anti-Malware 1.62.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.07.20.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** : : *** [Administrator]

20.07.2012 13:12:40
mbam-log-2012-07-20 (13-12-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 391178
Laufzeit: 49 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Bösartig: ("regedit.exe" "%1") Gut: (regedit.exe "%1") -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Danke vielmals!

t'john 20.07.2012 20:46
Du hattest fuer den Fix die Sternchen nicht richtig ersetzt! :(

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Tulbi 20.07.2012 21:15
Sorry T`John, habe beim Anonymisieren nicht gut genug aufgepasst...

Zitat:
# AdwCleaner v1.703 - Logfile created 07/20/2012 at 22:12:41
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : *** - ***
# Running from : C:\Users\***\Downloads\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\***\AppData\LocalLow\Conduit
Folder Found : C:\Users\***\AppData\LocalLow\ConduitEngine
Folder Found : C:\ProgramData\InstallMate
Folder Found : C:\Program Files (x86)\Conduit
Folder Found : C:\Program Files (x86)\ConduitEngine

***** [Registry] *****

Key Found : HKCU\Software\AppDataLow\Software\Conduit
Key Found : HKCU\Software\AppDataLow\Software\conduitEngine
Key Found : HKCU\Software\AppDataLow\Toolbar
Key Found : HKCU\Software\Softonic
Key Found : HKLM\SOFTWARE\Classes\Conduit.Engine
Key Found : HKLM\SOFTWARE\Conduit
Key Found : HKLM\SOFTWARE\conduitEngine
Key Found : HKLM\SOFTWARE\DT Soft
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
[x64] Key Found : HKCU\Software\AppDataLow\Software\Conduit
[x64] Key Found : HKCU\Software\AppDataLow\Software\conduitEngine
[x64] Key Found : HKCU\Software\AppDataLow\Toolbar
[x64] Key Found : HKCU\Software\Softonic
[x64] Key Found : HKLM\SOFTWARE\Classes\Conduit.Engine

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Key Found : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v13.0.1 (de)

Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\m451tz6s.default\prefs.js

[OK] File is clean.

Profile name : default
File : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\nmd41hs1.default\prefs.js

[OK] File is clean.

-\\ Opera v11.1.1190.0

File : C:\Users\***\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

File : C:\Users\Gast\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [2262 octets] - [20/07/2012 22:12:41]

########## EOF - C:\AdwCleaner[R1].txt - [2390 octets] ##########

t'john 20.07.2012 21:36
Sehr gut! :daumenhoc

  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Tulbi 20.07.2012 22:25
Zitat:
# AdwCleaner v1.703 - Logfile created 07/20/2012 at 22:59:52
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : *** - ***
# Running from : C:\Users\***\Downloads\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\***\AppData\LocalLow\Conduit
Folder Deleted : C:\Users\***\AppData\LocalLow\ConduitEngine
Folder Deleted : C:\ProgramData\InstallMate
Folder Deleted : C:\Program Files (x86)\Conduit
Folder Deleted : C:\Program Files (x86)\ConduitEngine

***** [Registry] *****

Key Deleted : HKCU\Software\AppDataLow\Software\Conduit
Key Deleted : HKCU\Software\AppDataLow\Software\conduitEngine
Key Deleted : HKCU\Software\AppDataLow\Toolbar
Key Deleted : HKCU\Software\Softonic
Key Deleted : HKLM\SOFTWARE\Classes\Conduit.Engine
Key Deleted : HKLM\SOFTWARE\Conduit
Key Deleted : HKLM\SOFTWARE\conduitEngine
Key Deleted : HKLM\SOFTWARE\DT Soft
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v13.0.1 (de)

Profile name : default
File : C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\m451tz6s.default\prefs.js

[OK] File is clean.

Profile name : default
File : C:\Users\Gast\AppData\Roaming\Mozilla\Firefox\Profiles\nmd41hs1.default\prefs.js

[OK] File is clean.

-\\ Opera v11.1.1190.0

File : C:\Users\***\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

File : C:\Users\Gast\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [2381 octets] - [20/07/2012 22:12:41]
AdwCleaner[S1].txt - [2066 octets] - [20/07/2012 22:59:52]

########## EOF - C:\AdwCleaner[S1].txt - [2194 octets] ##########
Emsisoft folgt...

Übrigens: Das Popup-Fenster am Anfang kommt nicht mehr, auch sonst ist alles OK

Danke

Zitat:
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 20.07.2012 23:11:25

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An

Scan Beginn: 20.07.2012 23:11:44

c:\program files (x86)\gamespy arcade gefunden: Trace.File.gamespy arcade!E1
c:\program files (x86)\gamespy arcade\install.log gefunden: Trace.File.gamespy arcade!E1

Gescannt 626636
Gefunden 2

Scan Ende: 21.07.2012 00:51:45
Scan Zeit: 1:40:01
Werde leider in den nächsten 2-3 Tage kein Zugriff zu dem Laptop haben...

Danke für deine Hilfe!!!

t'john 21.07.2012 12:49
Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Tulbi 26.07.2012 19:46
Zitat:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a1cfc2245a89af4285eff4fc7c23ad68
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-26 05:26:25
# local_time=2012-07-26 07:26:25 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 1235391 1235391 0 0
# compatibility_mode=5893 16776574 100 94 1239189 94948588 0 0
# compatibility_mode=8192 67108863 100 0 100 100 0 0
# scanned=196695
# found=0
# cleaned=0
# scan_time=4846
liebe grüsse

t'john 26.07.2012 19:50
Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Tulbi 26.07.2012 21:23
irgendwie funktioniert der Download nicht.

Wenn ich nach "Java" suche kommt nur "Java (32-bit)"
ich habe aber einen 64bit petzeee :)

t'john 26.07.2012 21:47
Verwendest du auch den 64 Bits Browser? ;)

Du musst beide Versionen installieren.

Tulbi 27.07.2012 13:37
ok habs jetzt doch geschafft

t'john 27.07.2012 14:02
Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

  • Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
  • temporäre Dateien löschen.




Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

Tulbi 27.07.2012 14:43
Hallo

Ist alles OK ausser, dass ich Firefox benütze und nicht weiss wie man die Sicherheitszonen zurücksetzt...

Danke vielmals für deine tolle Hilfe!

Beim Registry im CCleaner wird ein "ungenützte endungen"-Fehler immer wieder behoben und taucht dann wieder als Fehler auf (10x versucht)

t'john 27.07.2012 15:18
Bitte im Internet Explorer durchfuehren, auch wenn du ihn nicht benutzt.

Das mit CCleaner ist OK.

Tulbi 27.07.2012 17:10
War alles schon so wie beschrieben und habe jetzt nichts verändert...

t'john 27.07.2012 17:12
Gut!
Eine virenfreie Zeit ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131